哪家公司的漏洞獎勵最高？

Facebook自開啟漏洞獎勵計劃，5年內向900位安全研究員發放了近500萬美元的獎金。僅今年上半年就向149位安全研究員發放了611741美元的獎金，獲獎的安全研究員大部分來自於印度、美國、墨西哥。

Facebook漏洞獎勵計劃組的安全工程師Joey Tyson稱，在2016年1月至6月期間，他們已經收到了9000份安全報告，相比較於去年一年13233份報告的數據，這絕對堪稱一次峰值。

近年來，Facebook已經精鍊了他們的項目計劃。每位獲得漏洞獎勵的安全研究員都會發現，他們在收到漏洞獎勵通知的同時，還會收到一份詳細漏洞獎勵明細。

「我們對漏洞危害程度的評價是基於漏洞真實的危害，而不是感官上的危害，並且我們還會分享每項獎金背後的想法。」n

比如，上個月，來自印度的安全研究員Arun Sureshkumar因提交了一個安全漏洞，獲得了16000美元的獎勵。隨後，Facebook安全團隊的Neal Poole便給他詳細說明了這份獎金的評判細則。因為Arun Sureshkumar提交的這個漏洞能拿到頁面的控制許可權，並且他們在修復這個漏洞的時候還發現了另外一個相關的問題，所以綜合考慮就給予了16000美元的漏洞獎勵。

Facebook是最早一批開啟漏洞獎勵計劃的公司，同期的還有Google、Mozilla，但是早期Facebook的漏洞獎勵額度比較低，通常一個漏洞只有500美元，相比較於其他公司的獎勵額度，沒有什麼競爭力。

之後，Facebook便提升了漏洞獎勵額度。2013年向330位安全研究員發放了150萬美元的獎勵，2014年向321位安全研究員發放了130萬美元的獎勵，2015年向210位安全研究員發放了將近100萬美元的獎金。

今年2月份，來自芬蘭的一位10歲男孩在Instagram上發現了一個API漏洞，Facebook公司給予其10000美元的獎勵。

Facebook旗下的產品包括WhatsApp、Instagram、FacebookMessenger、Oculus、Atlas，甚至還包括osquery檢測工具。所以有能力的安全研究員均可從這些產品上找出安全漏洞，從而掙得不錯一份獎勵。

微軟的漏洞獎勵計劃：漏洞最低獎勵為500美元，最高可達10萬美元；nn蘋果也於今年開啟了漏洞獎勵計劃：單個漏洞最高可獲得20萬美元的獎勵；nn谷歌漏洞獎勵計劃：單個漏洞最低100美元，最高2萬美元；nnMozilla的漏洞獎勵計劃：單個漏洞最低500美元，最高300美元；nnWordPress漏洞獎勵計劃：單個漏洞最低100美元，最高1000美元；nnChromium的漏洞獎勵計劃：單個漏洞最低500美元，最高1.5萬美元。n

註：本文參考來源於thretpost

推薦閱讀：