1Password最近已经将其最高bug赏金由原先的2万5千美元提高至10万美元,此次提价自然是为了进一步激励安全研究人员。另外,谷歌公司去年则为其bug赏金计划总计支付达300万美元。
但是,这些数字到底是如何确定的?
Bugcrowd公司运营副总裁David Baker认为,如此可观的金额意味着企业已经开始认真考虑安全漏洞在市场上的实际价值。
“一个bug到底价值几何?”这无疑是众包安全测试当中最为常见的问题所在,他表示。
“答案虽然随着bug赏金项目的逐步成熟而快速演变,但此类项目获得成功的关键所在却从未改变——即利用合适的激励金额敦促研究人员进行工作。然而,大多数企业并不太清楚决定赏金具体金额的各类复杂性因素,”Bakers指出。
为了解决这个问题,Baker分享了他在制定bug赏金计划时总结出的一些经验,包括如何及何时提高赏金额度,以及企业该如何充分利用自己的赏金项目。
· 千里之行,始于足下: 在对项目进行初步定义时,必须强调获取成功的重要性。首先,至少应明确告知研究人员应该测试什么、不该测试什么——这对于获取理想结果而言至关重要。另外,这种明确的区间划分也能够有效控制赏金额度。毕竟作为发起者,企业有必要了解特定漏洞可能带来的损失水平,并据此考虑设置怎样的奖金。
· 定义bug的实际价值: 这是企业在制定项目成功标准时最需要回答的重要问题之一,而具体答案则取决于企业自身的目标乃至安全团队规模。随着越来越多的企业将其业务及安全目标同众包安全计划联系起来,我们发现研究人员参与其中的动机与活跃性皆呈现上升趋势。通过仔细了解并评估潜在漏洞对业务的影响,同时比较市场中的过往案例,企业能够更准确地定义何时哪些特定bug最为重要(事实上,bug的重要度确实会不断变化)。
· 选择合适的时间与价格: 企业的安全成熟度决定着bug的实际价位。毫无疑问,安全成熟度高的企业往往更关注安全流程,因此需要投入更多时间与精力才能找到被其遗漏的bug。在这类项目中,大家最好立足优先级制定赏金计划,但请记住,要给出与付出相符的回报。
· 建立具有竞争力的项目: 目前,bug赏金市场正在快速增长,并导致各项目之间存在激烈的竞争。如果缺少适当的引导,不少企业的项目会缺乏竞争力并导致吸引不到出色的研究人员。除了现金奖励,我们还应考虑大力宣传并发布有趣的目标——因为人才也乐于将自己的发现公诸于众。这不仅能够肯定其技能或者知识水平,帮助其所带领的团队及用户了解如何发现bug,同时也能够为个人提供良好的就业机遇及社区影响力。
· 营销的力量: 另外,不要忽视bug赏金项目对于企业自身的营销效果。不少企业利用其bug赏金计划作为展示自身安全水平的机会。提高奖励额度亦能够证明您一直在认真对待企业自身及客户的安全保障工作
好文章,需要你的鼓励
韩国科学技术院研究团队提出"分叉-合并解码"方法,无需额外训练即可改善音视频大语言模型的多模态理解能力。通过先独立处理音频和视频(分叉阶段),再融合结果(合并阶段),该方法有效缓解了模型过度依赖单一模态的问题,在AVQA、MUSIC-AVQA和AVHBench三个基准测试中均取得显著性能提升,特别是在需要平衡音视频理解的任务上表现突出。
这项研究利用大语言模型解决科学新颖性检测难题,南洋理工大学团队创新性地构建了闭合领域数据集并提出知识蒸馏框架,训练轻量级检索器捕捉想法层面相似性而非表面文本相似性。实验表明,该方法在市场营销和NLP领域显著优于现有技术,为加速科学创新提供了有力工具。
un?CLIP是一项创新研究,通过巧妙反转unCLIP生成模型来增强CLIP的视觉细节捕捉能力。中国科学院研究团队发现,虽然CLIP在全局图像理解方面表现出色,但在捕捉细节时存在不足。他们的方法利用unCLIP生成模型的视觉细节表示能力,同时保持与CLIP原始文本编码器的语义对齐。实验结果表明,un?CLIP在MMVP-VLM基准、开放词汇语义分割和视觉中心的多模态任务上显著优于原始CLIP和现有改进方法,为视觉-语言模型的发展提供了新思路。
这项研究介绍了RPEval,一个专为评估大语言模型角色扮演能力而设计的新基准。研究团队从法国里尔大学开发的这一工具专注于四个关键维度:情感理解、决策制定、道德对齐和角色一致性,通过单轮交互实现全自动评估。研究结果显示Gemini-1.5-Pro在总体表现上领先,而GPT-4o虽在决策方面表现出色,但在角色一致性上存在明显不足。这一基准为研究人员提供了一个可靠、可重复的方法来评估和改进大语言模型的角色扮演能力。