1Password最近已经将其最高bug赏金由原先的2万5千美元提高至10万美元,此次提价自然是为了进一步激励安全研究人员。另外,谷歌公司去年则为其bug赏金计划总计支付达300万美元。
但是,这些数字到底是如何确定的?
Bugcrowd公司运营副总裁David Baker认为,如此可观的金额意味着企业已经开始认真考虑安全漏洞在市场上的实际价值。
“一个bug到底价值几何?”这无疑是众包安全测试当中最为常见的问题所在,他表示。
“答案虽然随着bug赏金项目的逐步成熟而快速演变,但此类项目获得成功的关键所在却从未改变——即利用合适的激励金额敦促研究人员进行工作。然而,大多数企业并不太清楚决定赏金具体金额的各类复杂性因素,”Bakers指出。
为了解决这个问题,Baker分享了他在制定bug赏金计划时总结出的一些经验,包括如何及何时提高赏金额度,以及企业该如何充分利用自己的赏金项目。
· 千里之行,始于足下: 在对项目进行初步定义时,必须强调获取成功的重要性。首先,至少应明确告知研究人员应该测试什么、不该测试什么——这对于获取理想结果而言至关重要。另外,这种明确的区间划分也能够有效控制赏金额度。毕竟作为发起者,企业有必要了解特定漏洞可能带来的损失水平,并据此考虑设置怎样的奖金。
· 定义bug的实际价值: 这是企业在制定项目成功标准时最需要回答的重要问题之一,而具体答案则取决于企业自身的目标乃至安全团队规模。随着越来越多的企业将其业务及安全目标同众包安全计划联系起来,我们发现研究人员参与其中的动机与活跃性皆呈现上升趋势。通过仔细了解并评估潜在漏洞对业务的影响,同时比较市场中的过往案例,企业能够更准确地定义何时哪些特定bug最为重要(事实上,bug的重要度确实会不断变化)。
· 选择合适的时间与价格: 企业的安全成熟度决定着bug的实际价位。毫无疑问,安全成熟度高的企业往往更关注安全流程,因此需要投入更多时间与精力才能找到被其遗漏的bug。在这类项目中,大家最好立足优先级制定赏金计划,但请记住,要给出与付出相符的回报。
· 建立具有竞争力的项目: 目前,bug赏金市场正在快速增长,并导致各项目之间存在激烈的竞争。如果缺少适当的引导,不少企业的项目会缺乏竞争力并导致吸引不到出色的研究人员。除了现金奖励,我们还应考虑大力宣传并发布有趣的目标——因为人才也乐于将自己的发现公诸于众。这不仅能够肯定其技能或者知识水平,帮助其所带领的团队及用户了解如何发现bug,同时也能够为个人提供良好的就业机遇及社区影响力。
· 营销的力量: 另外,不要忽视bug赏金项目对于企业自身的营销效果。不少企业利用其bug赏金计划作为展示自身安全水平的机会。提高奖励额度亦能够证明您一直在认真对待企业自身及客户的安全保障工作
好文章,需要你的鼓励
CIO们正面临众多复杂挑战,其多样性值得关注。除了企业安全和成本控制等传统问题,人工智能快速发展和地缘政治环境正在颠覆常规业务模式。主要挑战包括:AI技术快速演进、IT部门AI应用、AI网络攻击威胁、AIOps智能运维、快速实现价值、地缘政治影响、成本控制、人才短缺、安全风险管理以及未来准备等十个方面。
北航团队发布AnimaX技术,能够根据文字描述让静态3D模型自动生成动画。该系统支持人形角色、动物、家具等各类模型,仅需6分钟即可完成高质量动画生成,效率远超传统方法。通过多视角视频-姿态联合扩散模型,AnimaX有效结合了视频AI的运动理解能力与骨骼动画的精确控制,在16万动画序列数据集上训练后展现出卓越性能。
过去两年间,许多组织启动了大量AI概念验证项目,但失败率高且投资回报率令人失望。如今出现新趋势,组织开始重新评估AI实验的撒网策略。IT观察者发现,许多组织正在减少AI概念验证项目数量,IT领导转向商业AI工具,专注于有限的战略性目标用例。专家表示,组织正从大规模实验转向更专注、结果导向的AI部署,优先考虑能深度融入运营工作流程并产生可衡量结果的少数用例。
这项研究解决了AI图片描述中的两大难题:描述不平衡和内容虚构。通过创新的"侦探式追问"方法,让AI能生成更详细准确的图片描述,显著提升了多个AI系统的性能表现,为无障碍技术、教育、电商等领域带来实用价值。