據(jù)外媒，為鼓勵安全研究人員積極向官方提交漏洞報告，美國國土安全部(DHS)曾發(fā)起HackDHS漏洞賞金計劃。不過隨著Log4j威脅的加劇，美國網絡安全與基礎設施安全(CISA)的Jen Easterly，又于Twitter上宣布了HackDHS項目的更新。

[[442048]]

作為美國國防部(DHS)下屬的一個下屬機構，CISA正在對相關漏洞利用保持高度密切關注。微軟等科技巨頭更是指出，全球許多有深厚背景的黑客，都在積極利用Log4shell漏洞。在Log4shell漏洞公開披露數(shù)日后，DHS就在上周設立了HackDHS計劃，以期更好地應對相關事件。與許多私營企業(yè)的漏洞賞金計劃不同，HackDHS并不是一個完全向公眾敞開的計劃，而是希望吸引更多通過審核的網絡安全研究人員加盟。

據(jù)悉，該計劃將分為三個階段進行，在第一階段，安全研究人員將對某些DHS外部系統(tǒng)展開虛擬評估。到第二階段，他們將參與現(xiàn)場、面對面的黑客活動。最后的第三階段，DHS將識別和審查數(shù)據(jù)，并規(guī)劃未來的漏洞賞金計劃。

盡管圍繞Log4j的主要漏洞已經實施了兩輪修復，但由于早期補丁本身也存在缺陷，許多Log4j應用程序未得到及時更新、且總有些系統(tǒng)未獲得正確修補，后續(xù)還有一系列考驗正在路上。至于HackDHS計劃的資質，首先得被DHS挑中才有機會參與。后若順利找到一個漏洞，即可獲得5000美元的獎勵。DHS方面將在缺陷曝光48小時內予以驗證，并努力在15天內完成修復。但若漏洞更加復雜且嚴重，DHS也可能需要耗費更長的時間。