圖片來源: 

Facebook

透過技術社群協助尋找線上服務的未知漏洞,是大型軟體、服務業者近年來仰賴群體智慧的具體例證之一,而社交網路服務霸主臉書(Facebook)自從2011年開始你抓臭蟲我給獎金的計畫至今,已經抓到超過2,400個軟體漏洞,並發出達430萬美元(約新台幣1.4億元)獎金。

Facebook自2011年開始名為Facebook Bug Bounty的軟體臭蟲/漏洞通報獎勵計畫,已經有超過800人上傳的2,400個漏洞被核可並發給獎金,而在2015年,則有210名參與者的526筆漏洞獲審核通過,平均每筆獎金達1,780美元(約新台幣5.9萬元),若以參加工程師國籍來看獲獎金額,則印度、埃及、千里達及托巴哥拿走最多獎金。

Facebook表示,過去較常見的XSS與CSRF漏洞已經逐漸少見,而發生在非關技術的商業邏輯漏洞則成為多數抓蟲人關注的焦點,而隨著Facebook的成長以及利用XHP與React等工具或架構後,傳統常見的軟體漏洞多半都已經能在正式上線前就被排除。

值得注意的是,Facebook收到的通報,其成熟度與完整性都有顯著增加,例如較不重要或衝擊很小的缺失通報越來越少,而重大漏洞的通報內容也都比過去完整,例如會包含可能的攻擊手法步驟,更具體協助Facebook提升產品。


Advertisement

更多 iThome相關內容