據(jù)外媒，為鼓勵(lì)安全研究人員積極向官方提交漏洞報(bào)告，美國(guó)國(guó)土安全部(DHS)曾發(fā)起HackDHS漏洞賞金計(jì)劃。不過隨著Log4j威脅的加劇，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全(CISA)的Jen Easterly，又于Twitter上宣布了HackDHS項(xiàng)目的更新。

[[442048]]

作為美國(guó)國(guó)防部(DHS)下屬的一個(gè)下屬機(jī)構(gòu)，CISA正在對(duì)相關(guān)漏洞利用保持高度密切關(guān)注。微軟等科技巨頭更是指出，全球許多有深厚背景的黑客，都在積極利用Log4shell漏洞。在Log4shell漏洞公開披露數(shù)日后，DHS就在上周設(shè)立了HackDHS計(jì)劃，以期更好地應(yīng)對(duì)相關(guān)事件。與許多私營(yíng)企業(yè)的漏洞賞金計(jì)劃不同，HackDHS并不是一個(gè)完全向公眾敞開的計(jì)劃，而是希望吸引更多通過審核的網(wǎng)絡(luò)安全研究人員加盟。

據(jù)悉，該計(jì)劃將分為三個(gè)階段進(jìn)行，在第一階段，安全研究人員將對(duì)某些DHS外部系統(tǒng)展開虛擬評(píng)估。到第二階段，他們將參與現(xiàn)場(chǎng)、面對(duì)面的黑客活動(dòng)。最后的第三階段，DHS將識(shí)別和審查數(shù)據(jù)，并規(guī)劃未來(lái)的漏洞賞金計(jì)劃。

盡管圍繞Log4j的主要漏洞已經(jīng)實(shí)施了兩輪修復(fù)，但由于早期補(bǔ)丁本身也存在缺陷，許多Log4j應(yīng)用程序未得到及時(shí)更新、且總有些系統(tǒng)未獲得正確修補(bǔ)，后續(xù)還有一系列考驗(yàn)正在路上。至于HackDHS計(jì)劃的資質(zhì)，首先得被DHS挑中才有機(jī)會(huì)參與。后若順利找到一個(gè)漏洞，即可獲得5000美元的獎(jiǎng)勵(lì)。DHS方面將在缺陷曝光48小時(shí)內(nèi)予以驗(yàn)證，并努力在15天內(nèi)完成修復(fù)。但若漏洞更加復(fù)雜且嚴(yán)重，DHS也可能需要耗費(fèi)更長(zhǎng)的時(shí)間。