Wordfence官方推出漏洞BUG赏金计划

Wordfence 今天推出了一项漏洞悬赏计划，为向公司计划报告高风险漏洞的安全研究人员提供经济奖励。在研究人员向 Wordfence 披露漏洞后，公司会对漏洞进行分类，并以保密方式披露给供应商进行修复。在漏洞修复发布后，该漏洞将被纳入 Wordfence 的公共数据库，用户可根据负责任的披露政策免费访问该数据库。

Wordfence安全分析师克洛伊-张伯兰（Chloe Chamberland）说："研究人员个人获得的奖励没有上限，通过我们的提交流程收到的每一个范围内的漏洞都会获得奖励。"

Wordfence 将奖励那些发现插件和主题中存在漏洞且活跃安装量超过 50,000 个的研究人员。奖励的几个例子如下：

• 在活跃安装量超过 100 万的插件或主题中发现未经验证的任意文件上传、远程代码执行、管理员权限升级或任意选项更新，奖励 1600 美元。
• 假定 wp-config.php 可以轻松删除，在拥有超过一百万活跃安装量的插件或主题中发生未经验证的任意文件删除事件，赔偿金额为 1,060 美元。
• 在活跃安装量超过一百万的插件或主题中进行未经身份验证的 SQL 注入，费用为 800 美元。
• 在活跃安装量超过一百万的插件或主题中发现未经验证的跨站脚本漏洞，赔偿 320 美元。
• 在活动安装量超过一百万的插件或主题中发现跨站请求伪造漏洞并造成重大影响，赔偿 80 美元。

"我们的漏洞悬赏计划旨在对 WordPress 生态系统的安全性产生最大的积极影响，"Chamberland 说。"奖励不是通过批量猎取影响最小的漏洞和在排行榜上赢得一席之地来获得的，而是基于活跃安装数、漏洞的关键性、利用的难易程度和漏洞类型的普遍性来获得的。"

Wordfence 发布漏洞赏金计划，显然是在争夺竞争地位，间接叫板 Patchstack，后者的计划采用排行榜制度，只有排名靠前的研究人员才能获得报酬。两者之间有一些明显的不同，其中有些赏金是酌情发放的，但大多数个人赏金是针对各种类别中的最高分：

Patchstack 保证每月奖池至少有 2425 美元（最低奖池）。Patchstack 联盟成员在某月提交的报告中得分最高者将获得 650 美元的奖励，第二名将获得 350 美元，第三名将获得 250 美元。

对于报告 CVSS ver. 3.1 基本分值最高的漏洞；活跃安装次数最高的漏洞；以及报告一组受同一漏洞影响的组件的漏洞，我们都有额外奖励（单项奖励）。

Patchstack 可根据其发现的漏洞的总体影响酌情奖励 Patchstack 联盟的个人成员。

Wordfence 采取了一种不同的方式，即为在该计划确定的范围内报告的每个漏洞付费。

WordPress 生态系统中的研究人员应熟悉各种漏洞赏金计划，并确定披露漏洞的最佳途径。一些插件和公司，如 Elementor、Brainstorm Force、Automattic、Castos 和 WP Engine，都有自己的漏洞悬赏计划，并有一系列不同的报酬。

Wordfence首席执行官马克-莫德（Mark Maunder）说："我们为每个漏洞支付更高的报酬，我们为提交的每个有效漏洞支付报酬。"我们认为这是唯一公平的方式，因为漏洞计划的游戏化就好比员工都在工作，但只有排名靠前的员工才能获得报酬。如果你提交了一个有效的漏洞，你就应该为你的工作获得报酬。"

莫德认为，错误的激励措施导致提交的研究报告质量下降。

他说："向 Patchstack 等数据库提交的低风险、低质量漏洞数量极多。涉及跨站请求伪造的漏洞就是一个例子。我们看到的激励机制鼓励研究人员产生大量低风险漏洞以获得奖励。然后，这些高数量的漏洞就被用来推销安全产品。"

Maunder表示，Wordfence已经围绕转移激励机制来构建其计划，以奖励对高风险漏洞的研究，而不是提高特定漏洞数据库的营销指标。

Maunder说："任何特定数据库中的大量低风险漏洞都会损害整个行业，因为这为其他必须整合这些数据的组织创造了工作机会，但在大多数情况下，这些数据都是我们不得不筛选的无用噪音，而不代表用户社区的任何实际风险。"

作为提供漏洞赏金的 WordPress 公司中的新秀，Wordfence 进入市场的目的是通过额外奖金（前 6 个月为 10%）和奖励多个漏洞链、详尽文档和其他额外努力的奖金结构来吸引更多的报告。

并不是每个流行插件或主题的作者都有能力提供自己的漏洞悬赏计划，而这正是安全公司介入填补空白的地方。对 WordPress 用户来说，各公司对高质量研究的更多竞争只会带来好处，因为它为确保生态系统的安全提供了更多动力，并有可能吸引更多技术娴熟的研究人员。随着时间的推移，漏洞悬赏计划很可能会随着公司的完善而发展，从而为原创研究提供最大价值。