圖片來源: 

Bugcrowd

在過去5年都藉由與資安業者合作或封閉抓漏獎勵專案來保障服務安全性的Netflix在本周對外發表了抓漏獎勵專案,公開邀請安全社群協助改善其產品及服務的安全,同時強化與安全社群的關係。

Netflix表示,該站是在2013年啟動漏洞揭露計畫,提供安全研究人員回報漏洞的管道,迄今已收到及解決了190個問題,繼之於2016年9月展開封閉式的抓漏獎勵專案,且日益增加抓漏範圍與所邀請的研究人員,從100名擴編到700名,並收到了145個有效問題,當中的最高獎金為1.5萬美元。

最新的公開抓漏獎勵專案是藉由Bugcrowd平台進行,主要的抓漏範圍為多數的netflix.com、nflxvideo.net、nflximg.net網域,以及Netflix的Android與iOS程式。

舉凡是發現有效的跨站指令碼(XSS)、跨站偽造請求(CSRF)、資料隱碼(SQLi)、資料外洩、重定向、遠端程式執行或認證等相關漏洞的都有機會得到抓漏獎金,獎金按照漏洞嚴重等級從100美元到1.5萬美元不等。

Netflix強調,該站的自由與責任制文化讓抓漏獎勵專案的運作更有效率,該站工程師對手上產品的安全性擁有高度自主權,能夠很快解決問題,安全工程師也可很快作出獎勵決策,將可創造高效的無縫經驗,他們承諾在7天內就會回應安全社群的發現,依照過往的經驗,回應的平均時間是2.7天。


Advertisement

更多 iThome相關內容