TippingPoint公司在星期一首次公开了其有偿捉虫计划实施一年时间以来的成果,它公布了一份包括二十多个未修复的安全漏洞的清单,涉及的软件范围很广,许多知名软件开发商如Adobe公司、苹果公司、微软公司、Sun公司和赛门铁克公司等生产的软件都赫然在列。
TippingPoint公司是3com公司旗下的分公司之一,它在2005年7月份首次公开了其“零时计划”;在那之前,它还推出过一款iDefense软件,现在已经被VeriSign公司收购。从那以后,零时计划已经查出了30个安全漏洞并发布了相应的安全建议书,后来那些安全漏洞都得到了修复。
然而TippingPoint在发布这份新漏洞清单时改变了它一贯的作风。公司安全研究主管大卫恩德尔在声明中说:“去年,我们的零时计划研究员提出的最强烈的反响是增加计划的透明度,公开与未修复的零时漏洞有关的厂商联系方式。”
在TippingPoint公司发布的清单上包括的22个安全漏洞中,有6个与微软公司软件有关,3个与Novell公司软件有关,另外,赛门铁克公司、苹果公司和CA公司的软件中也各存在2个安全漏洞。其他的漏洞涉及的软件厂商还有Citrix公司、IBM公司和Adobe公司。 TippingPoint公司已经将这些漏洞分别报告给了相应的厂商,其中报告时间最早的距今已经有306天了,最短的只有14天。
TippingPoint公司的研究人员还发现了另外6个安全漏洞,并且将在本周晚些时候至少对外公布其中一个漏洞。
TippingPoint公司只公布了有关厂商的名称、它报告漏洞的日期和一段有关漏洞危险级别的自述,为了保护用户利益,它没有公开与漏洞有关的技术细节和相关厂商的存在漏洞的具体软件名称。
公司没有公布其回报率结构,也不会公开它去年在有偿捉虫计划上花费的总成本有多少。TippingPoint公司发言人劳拉克纳迪克说:“如果我们公布了这些数据的话,你用总数除以漏洞的数量就会得到一个平均数了。”零时计划并没有制定标准的回报标准,对于与微软公司软件有关的安全漏洞,它的回报会更高一些,因为微软公司的软件的应用范围比其他厂商如Adobe公司或者Citrix公司的软件要广一些,因此那些漏洞的价值也更高一些。
有偿捉虫计划已经成为安全业界的一个重要组成部分。比如在六月份的时候,微软公司在其月度安全补丁中修复的四个漏洞中就有一个是由赏金漏洞猎人发现的。
除此之外,其他厂商如电子眼数字安全公司也在进行类似的有偿捉“虫”计划。 |
