雖然Gartner沒有專門為漏洞賞金或眾包安全測試?yán)L制魔力象限，但Gartner Peer Insights列出了24家“應(yīng)用眾包測試服務(wù)”類供應(yīng)商。

如果想增強(qiáng)公司現(xiàn)有軟件測試武器庫，納入全球安全研究人員的知識和專業(yè)技能，那您不妨看看下列5個極具前景的漏洞賞金平臺。

1. HackerOne

網(wǎng)址：https://www.hackerone.com/

作為背后站著眾多著名風(fēng)險資本家的獨(dú)角獸公司，HackerOne可能是全世界知名度最高、最受認(rèn)同的漏洞賞金品牌了。

其最近的年報顯示，超過1700家公司信任HackerOne平臺，放心依托HackerOne增強(qiáng)自身內(nèi)部應(yīng)用安全測試能力。報告還宣稱，HackerOne的安全研究人員僅2019年一年就掙到了約4000萬美元賞金，累積賞金數(shù)額更是高達(dá)8200萬美元。

HackerOne的名聲還來自于托管美國政府漏洞賞金計劃，包括美國國防部和美國陸軍的漏洞披露計劃。與其他一些漏洞賞金計劃和漏洞披露計劃(VDP)類似，HackerOne如今還提供依托全球資深安全研究人員的滲透測試服務(wù)。HackerOne的安全認(rèn)證十分完備，包括ISO 27001和FedRAMP授權(quán)。

2. BugCrowd

網(wǎng)址：https://www.bugcrowd.com/

網(wǎng)絡(luò)安全專家Casey Ellis創(chuàng)立的BugCrowd可能是最具創(chuàng)新性的漏洞賞金平臺了。BugCrowd不僅積極推動傳統(tǒng)眾包安全測試服務(wù)，還倡導(dǎo)攻擊界面管理和針對物聯(lián)網(wǎng)、API甚至網(wǎng)絡(luò)的一系列滲透測試服務(wù)，在快速成長的眾包安全市場上領(lǐng)先其他競爭對手。BugCrowd還適度推廣各種軟件開發(fā)生命周期(SDLC)集成功能，方便客戶高效整合和推動DevSecOps工作流。

Amazon、VISA、eBay等行業(yè)巨頭，以及備受尊崇的(ISC)² 網(wǎng)絡(luò)安全教育協(xié)會都將漏洞賞金計劃交托給BugCrowd。很多安全研究新手也因BugCrowd大學(xué)、持續(xù)不斷的安全網(wǎng)絡(luò)研討會和培訓(xùn)而熟知BugCrowd。這個創(chuàng)新平臺將其客戶的研究人員有機(jī)結(jié)合了起來。

3. OpenBugBounty

網(wǎng)址：https://www.openbugbounty.org/

在我們的名單上，飛速發(fā)展的OpenBugBounty項(xiàng)目是僅有的一個非營利性漏洞披露和漏洞賞金平臺。Alexa排名顯示，OpenBugBounty即將成功超越其絕大多數(shù)商業(yè)競爭對手。

依托1200多個活躍漏洞賞金計劃，如果漏洞經(jīng)由非侵入式方法檢測，OpenBugBounty還允許在任意網(wǎng)站上協(xié)同披露這些漏洞。在OpenBugBounty上創(chuàng)建漏洞賞金計劃是完全免費(fèi)的，無需支付研究人員酬金，但鼓勵至少感謝研究人員的付出，并公開推薦他們。

OpenBugBounty為奧地利電信A1和Drupal等公司托管漏洞賞金計劃，有2萬多名安全研究人員投身其中，截至目前提交了近80萬個安全漏洞。該平臺表示，其策略和披露流程遵循ISO 29147標(biāo)準(zhǔn)。

OpenBugBounty還與各國CERT(計算機(jī)應(yīng)急響應(yīng)小組)和執(zhí)法機(jī)構(gòu)合作，為他們提供免費(fèi)API接入平臺，同時在研究人員公開披露其漏洞發(fā)現(xiàn)之前保密漏洞詳情。

4. SynAck

網(wǎng)址：https://www.synack.com/

背靠英特爾投資部和凱鵬華盈(Kleiner Perkins)等多家知名風(fēng)險投資基金，2015年到2019年，SynAck四度蟬聯(lián)CNBC(美國消費(fèi)者新聞與商業(yè)頻道)“顛覆者”稱號。SynAck處于商業(yè)漏洞賞金平臺頂部，也入選了Gartner企業(yè)軟件初創(chuàng)公司Top 25。

SynAck由安全遠(yuǎn)見者、前美國國家安全機(jī)構(gòu)雇員Jay Kaplan和Mark Kuhr聯(lián)合創(chuàng)立，提供經(jīng)全面審核的網(wǎng)絡(luò)安全研究人員組成的精英團(tuán)隊(duì)“紅隊(duì)”(SRT)。SynAck表示，SRT小組的安全專家背景清晰，行業(yè)經(jīng)驗(yàn)豐富。

由于對紅隊(duì)成員進(jìn)行詳盡全面的盡職審查，并記錄其全部活動供未來分析或?qū)徍?，SynAck成功躋身可信眾包安全測試服務(wù)領(lǐng)頭羊之列。而且，SynAck還與行業(yè)領(lǐng)導(dǎo)者建立了合作伙伴關(guān)系和技術(shù)聯(lián)盟，包括微軟、AWS和HPE，表現(xiàn)出了強(qiáng)勁的成長潛力。

5. YesWeHack

網(wǎng)址：https://www.yeswehack.com/YesWeHack是2021年的新星。作為歐洲漏洞賞金和漏洞披露公司之一，YesWeHack成功吸引了注重嚴(yán)格隱私與保護(hù)數(shù)據(jù)防護(hù)的歐盟公司企業(yè)。最近，YesWeHack宣布2020年在亞洲錄得破紀(jì)錄的250%增長率，證明了歐洲初創(chuàng)公司全球擴(kuò)張的能力。

與BugCrowd類似，YesWeHack也做好了投資人才的準(zhǔn)備。去年，YesWeHack啟動培訓(xùn)項(xiàng)目，幫助漏洞賞金獵人借助YesWeHack DOJO平臺磨練黑客技術(shù)。該項(xiàng)目提供入門級課程和專注特定安全漏洞的培訓(xùn)關(guān)卡，以及施展身手的訓(xùn)練環(huán)境。

全世界的安全研究人員都可以借助DOJO平臺磨礪其軟件安全測試技術(shù)。最后，YesWeHack還展現(xiàn)了吸引法國OVH集團(tuán)等著名歐洲客戶的能力。

除了上述五大漏洞賞金平臺，市場上還有其他很多獨(dú)特而杰出的平臺，比如身為歐洲主流道德黑客網(wǎng)絡(luò)之一的Intigriti。

漏洞賞金計劃已開始從純眾包安全測試向綜合網(wǎng)絡(luò)安全平臺轉(zhuǎn)型，提供經(jīng)典滲透測試和大量其他服務(wù)。我們目前很難預(yù)測漏洞賞金平臺相對于傳統(tǒng)托管安全服務(wù)提供商(MSSP)和網(wǎng)絡(luò)安全供應(yīng)商到底有多成功，但是，漏洞賞金無疑開創(chuàng)了極具潛力的新型市場定位。

正如幾十年前開源Linux撼動微軟商業(yè)閉源操作系統(tǒng)，隨后誕生數(shù)十億美元Red Hat業(yè)務(wù)，開放自由的OpenBugBounty項(xiàng)目正促進(jìn)漏洞賞金計劃不斷成熟。

這標(biāo)志著漏洞賞金市場在逐步壯大，變得更具競爭力，越來越多的新玩家不斷投身其中。我們可以預(yù)計，未來將有更多風(fēng)險資本加入，會出現(xiàn)更多并購交易，推動眾包安全市場繼續(xù)擴(kuò)張。