5万美元一个贵不贵？

N Manager(NTLM)凭证发往攻击者的域。

通报这个漏洞最终让我得到了高达50美元的“巨资”，漏洞“上达天听”的整个过程耗时约半年。两年后，我收到一条消息称漏洞被修复了，问我有没有时间检查一下补丁。(我没时间。)时至今日，众包安全领域掏钱爽快多了，但屡屡惊掉下巴的巨额赏金掩盖了真正的问题：我们真的值得为一个漏洞支付5万美元吗?

高额赏金危害从业人员和产品

当然，此类数目并非没有前例。疫情高峰时，适用于Windows应用的Zoom零日漏洞据称卖出50万美元高价，还有Zerodium等公司在漏洞交易“灰色市场”上频繁流通此类漏洞。

说到灰色市场就扯远了，我们说回眼前的问题：众包安全项目不断高企的赏金支出存在诸多弊端。虽然主要目的是增加项目的吸引力(记住，众包项目依赖奥威尔式零工经济，也就是说除非找到有效漏洞，否则你分文不得)，但高额赏金也存在从全职或劳务派遣等合法安全领域不断吸血安全人才的反效果。

而且，流入生产环境后的漏洞修复成本也得考虑进去。有这5万美元，用来堵住漏洞根源和施行“安全左移”不是多好?最起码，这笔钱可以用来做下面这几件事：

• 聘用全职应用安全工程师
• 执行10到20次渗透测试或代码审查(取决于日薪)
• 购买全套自动化渗透测试软件
• 全面部署和实现千万行代码级静态应用安全测试(SAST)软件(代码扫描/依赖)
• 培训成百上千名开发人员安全编程技术

做到上述任何一条，众包项目报告的这些漏洞都可以远远早于进入生产环境之前就识别出来，而且成本还低得多。虽说漏洞奖励可以抵消最终漏洞利用的金融冲击，但如果采取安全左移方法，抵消效果还能大上十倍。如果在进入生产环境前SAST或应用安全工程师，甚或代码审查就发现了10个漏洞，那么代码重构和为单个漏洞单独发布一个构建的额外开支就省了下来。

揪住根源而非症状

众包安全加剧了追逐症状而非根源的问题，一味提高赏金数额并不会缓和需要解决的结构性问题：良好的应用安全。网络安全技术领域那一大堆IAM、WAF、

（编辑：四平站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!