Netflix 推出漏洞奖励计划并承诺不会起诉研究人员
翻译:360代码卫士团队
Netflix 推出漏洞奖励计划,最高奖励金为1.5万美元。
Netflix推出的漏洞奖励计划涵盖了多款应用和平台。Netflix 安卓和 iOS 移动应用也包含在内,netflix.com 的多种 API、netflix.com 上的其它9个域名、*nflximg.net、nfxext.com和 nflximg.net 域名也包含在内。
Netflix 宣布称,这次在 Bugxrowd 推出的漏洞奖励计划始于2016年9月发布的一个私有计划。该计划目前已从当时的100名研究人员扩充到现在的700多名。
自从推出私有计划以来,Netflix 一直“尝试调整分类诊断鉴别的质量、响应时间和研究人员的交互以构建研究人员愿意参与的高质量计划。”
不过,Netflix 在制定的规则中指出,如果白帽子访问了消费者数据,那么必须停止测试并提交漏洞。研究人员仅可通过自己的账户发动攻击,且禁止入侵 Netflix 的服务器。
如果研究人员遵守这些规则,那么 Netfix 承诺将不会对研究人员提起诉讼。这一点对于越来越多的诉讼试图压制研究而非修复漏洞的现实情况而言非常重要。
Dropbox 公司也承诺不会起诉那些按规则行事的研究员。该公司在今天公布了为研究员提供安全港口的指南。
Dropbox 公司的 Chris Evans 指出,漏洞研究员“面临数十年的虐待、威胁和欺凌”。很显然 Evans 了解研究人员所面临的法律威胁、被转介到相关机构、所遭受的人身攻击、以及遭滥用流程压制。他表示,Dropbox 意识到自家的披露计划(托管于 HackerOne)提供不了足够的保护措施,因此做出了更新。
Dropbox 在更新内容中承诺不会将美国的《计算机欺诈和滥用法案》和《数字千年版权法》用于善意的安全研究中;如果第三方试图干预以阻止研究人员对 Dropbox 项目的研究,那么该公司将“明确澄清研究人员遵守政策,因此(研究工作)获得我们的授权”。
Dropbox 还指出,公司不会在任何胁迫下谈判赏金金额,以及要求研究人员给予该公司合理时间以修复漏洞。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。