新加坡政府科技局 (GovTech) 周二在 HackerOne 上推出了一項(xiàng)新的漏洞獎(jiǎng)勵(lì)計(jì)劃 (VRP),,提供高達(dá)150,000 美元的漏洞賞金獎(jiǎng)勵(lì),。
政府科技局(GovTech)推出的這項(xiàng)新的漏洞獎(jiǎng)勵(lì)計(jì)劃(VRP),旨在進(jìn)一步加強(qiáng)現(xiàn)有的政府漏洞獎(jiǎng)勵(lì)計(jì)劃(GBBP)和漏洞披露計(jì)劃(VDP),。這三個(gè)眾包漏洞挖掘項(xiàng)目補(bǔ)充了GovTech的網(wǎng)絡(luò)安全能力,,以保護(hù)政府的信息通信技術(shù)和智能系統(tǒng)(ICT&SS)。
除了政府進(jìn)行的常規(guī)滲透測(cè)試之外,,這三個(gè)眾包漏洞挖掘項(xiàng)目還提供了連續(xù)報(bào)告和季節(jié)性深入測(cè)試的混合功能,,以挖掘更大的社區(qū)。雖然公眾可以通過(guò)VDP報(bào)告所有面向互聯(lián)網(wǎng)的系統(tǒng)的可疑漏洞,,但由于涉及的系統(tǒng)價(jià)值較高,,GBBP和VRP只對(duì)“白帽”黑客(或道德黑客)開(kāi)放進(jìn)行測(cè)試。季節(jié)性的GBBP側(cè)重于每次迭代中選定的系統(tǒng),,而新的VRP旨在持續(xù)測(cè)試更廣泛的關(guān)鍵ICT系統(tǒng),,這些系統(tǒng)對(duì)于我們數(shù)字經(jīng)濟(jì)中持續(xù)提供必要的服務(wù)是必要的。
VRP會(huì)根據(jù)挖掘漏洞的嚴(yán)重程度等級(jí),,向白帽黑客提供250美元到5000美元不等的獎(jiǎng)金,。如果發(fā)現(xiàn)可能對(duì)選定系統(tǒng)和數(shù)據(jù)造成異常影響的漏洞,將獲得高達(dá)15萬(wàn)美元的特別獎(jiǎng)勵(lì),。這項(xiàng)特別獎(jiǎng)勵(lì)是以谷歌和微軟等全球科技公司實(shí)施的眾包脆弱性項(xiàng)目為基準(zhǔn)的,。這表明新加坡政府致力于保護(hù)關(guān)鍵ICT系統(tǒng)和敏感個(gè)人數(shù)據(jù)的安全。
該計(jì)劃將首先涵蓋三個(gè)系統(tǒng):Singpass和Corppass (GovTech),;會(huì)員電子服務(wù)(Ministry of Manpower - Central providfund Board),;和工作證綜合系統(tǒng)(人力資源部)。更多關(guān)鍵的信息和通信技術(shù)系統(tǒng)將逐步加入該方案。
由于這些系統(tǒng)對(duì)提供重要的數(shù)字政府服務(wù)至關(guān)重要,,只有符合嚴(yán)格標(biāo)準(zhǔn)的白帽黑客才會(huì)被允許參與,。這些檢查將由指定的漏洞賞金公司HackerOne進(jìn)行。注冊(cè)參與者將通過(guò)HackerOne提供的指定虛擬專(zhuān)用網(wǎng)(VPN)網(wǎng)關(guān)進(jìn)行安全測(cè)試,。這是為了確保安全測(cè)試活動(dòng)在允許的業(yè)務(wù)規(guī)則(ROE)范圍內(nèi),。如果參與者違反ROE,他們的VPN訪問(wèn)可能被撤銷(xiāo),,以最大限度地減少對(duì)政府系統(tǒng)完整性的潛在破壞,。
GovTech管理和網(wǎng)絡(luò)安全助理行政總裁Lim Bee Kwan女士表示:“自2018年推出首個(gè)眾包漏洞挖掘項(xiàng)目以來(lái),我們已經(jīng)與1000多名高技能白帽黑客合作,,發(fā)現(xiàn)了約500個(gè)有效漏洞,。新的漏洞獎(jiǎng)勵(lì)計(jì)劃將允許政府進(jìn)一步挖掘全球網(wǎng)絡(luò)安全人才池,對(duì)我們的關(guān)鍵系統(tǒng)進(jìn)行測(cè)試,,確保公民數(shù)據(jù)的安全,,以建立一個(gè)安全可靠的智能?chē)?guó)家?!?/p>