Netflix祭出抓漏獎勵專案，最高獎勵1.5萬美元

在過去5年都藉由與資安業者合作或封閉抓漏獎勵專案來保障服務安全性的Netflix在本周對外發表了抓漏獎勵專案，公開邀請安全社群協助改善其產品及服務的安全，同時強化與安全社群的關係。

Netflix表示，該站是在2013年啟動漏洞揭露計畫，提供安全研究人員回報漏洞的管道，迄今已收到及解決了190個問題，繼之於2016年9月展開封閉式的抓漏獎勵專案，且日益增加抓漏範圍與所邀請的研究人員，從100名擴編到700名，並收到了145個有效問題，當中的最高獎金為1.5萬美元。

最新的公開抓漏獎勵專案是藉由Bugcrowd平台進行，主要的抓漏範圍為多數的netflix.com、nflxvideo.net、nflximg.net網域，以及Netflix的Android與iOS程式。

舉凡是發現有效的跨站指令碼（XSS）、跨站偽造請求（CSRF）、資料隱碼（SQLi）、資料外洩、重定向、遠端程式執行或認證等相關漏洞的都有機會得到抓漏獎金，獎金按照漏洞嚴重等級從100美元到1.5萬美元不等。

Netflix強調，該站的自由與責任制文化讓抓漏獎勵專案的運作更有效率，該站工程師對手上產品的安全性擁有高度自主權，能夠很快解決問題，安全工程師也可很快作出獎勵決策，將可創造高效的無縫經驗，他們承諾在7天內就會回應安全社群的發現，依照過往的經驗，回應的平均時間是2.7天。