2月9日讯 美国总务管理局(U.S. General Services Administration，GSA)跟随联邦政府机构的大潮流，招募白帽子黑客寻找漏洞，以此提高系统安全性。

今年早些时候，GSA的技术改革服务部(Technology Transformation Service，TTS)在开源GitHub项目上发布草案征集，期望潜在的资深厂商帮助GSA建立自己的漏洞悬赏计划。TTS要求有关各方1月30日之前提供反馈意见。

漏洞悬赏的概念非常简单：雇用或未发现漏洞的白帽子黑客给予奖励。这是众包网络安全概念，只是方式更正式、更可信。

漏洞悬赏计划 — 要求安全研究人员寻找组织机构网络或系统内部的漏洞，机构给予相应的奖励。自美国国防部和美国陆军取得初步成功后，该计划在联邦政府机构中日益兴起。

草案征集的执行工作说明(Performance Work Statement，PWS)指出，“作为关注安全的重要组成部分，TTS需要采购预先存在的商业漏洞悬赏Saas(软件即服务)平台服务，从而启动并管理TTS漏洞悬赏计划”。

GSA — 尤其18F数字服务团队，相当长时间以来，一直有建立漏洞悬赏计划的想法。18F团队早在2016年早些时候就开始研究漏洞悬赏试点，以此为其它机构提供服务，但具体项目似乎仍处于初期规划阶段。

根据这份悬赏计划，TTS将借助承包商的帮助，邀请研究人员寻找TTS Web应用程序的漏洞。承包商还需对报告的漏洞进行分类，为发现有效漏洞的研究人员支付奖金，并解释驳回的原因。

GSA在GitHub上提供建议价格：低危漏洞300美元，中危漏洞1000美元，高危漏洞5000美元。合同为固定价格合同，基础期限为3个月，预计每个月的奖金支出：6个有效低危漏洞、1个有效中危漏洞和1个高效高危漏洞。GSA表示，合同另外还有2个为期3个月的选择期。另外，感兴趣的承包商向GSA提供使用其悬赏平台的报价。

TTS基本上会指定较大的资深漏洞悬赏厂商，这样的厂商已经建立了安全研究人员库，有利于发现更多的漏洞。

草案执行工作说明指出，考虑到漏洞悬赏计划的特性，提供漏洞悬赏SaaS平台(Bug Bounty SaaS Platform，能实现TTS的目标，并为政府带来最大价值)的承包商必须具有良好的信誉。漏洞悬赏SaaS平台的提供商越知名，在业界拥有的安全研究人才就越多。漏洞悬赏SaaS平台提供商网络的安全研究人员群体越大，在TTS Web应用程序上发现漏洞和技术问题的机率就越大。

GSA表示，已经开始审批行业内三大知名承包商。大量漏洞悬赏平台公司近年不断发展壮大，例如HackerOne(运作国防部和美国陆军的项目)、Synack和Bugcrowd，但GSA未表明联系了哪家公司。

HackerOne是唯一一家在该GitHub项目上公开提交问题的公司。HackerOne的首席技术官Alex Rice 指出，TTS正在展现最佳做法，其它联邦政府的机构可能轻松如法炮制，从发布漏洞披露政策开始。

Rice表示， “一旦完成了其中一个漏洞披露计划，漏洞悬赏项目便能以相对简易的程序进行。TTS本质上是在构建蓝图，供其他人实施这些项目提供向导。”

Rice指出，此外，TTS在GitHub上公开采购，并给予最大程度的灵活性，这是在构建人性化模式，供合作机构获取、调整并实施计划，以满足自身需求。

Rice还表示，“TTS是先驱，通过联邦承包的方式开辟新天地。18F和国防部的经验教训使得这些项目可为每个政府机构所用。因此，我认为联邦政府其它机构(尤其具有与采购相关总开销的机构)很快会加以重复利用，并会利用现有的好处。相比更传统的方法，政府将进一步强化众包安全的成本节约方式。”

Rice认为，就像18F和TTS开发的其它许多项目一样，该漏洞悬赏计划最开始也许只是单从机构利益出发，但其真正的价值是作为其它美国政府机构的PoC。

他表示，真正的好处是，它会带来可重复的过程，几乎任何机构都能通过承包的方式实施这样的计划。这项提议的深意在于，如果经历了该过程，没有必要重复执行这项工作。”

TTS预计将在4月6日左右确定承包商。获批的承包商将在10天内开始实施计划。