美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。
该漏洞赏金计划于7月30日正式启动,最初仅限于评估该州少数几个数字“资产”。随后,计划的范围扩大,涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间(截至8月28日),通过州政府和网络安全公司HackerOne的共同审查,黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前,州政府已迅速完成修复。
州政府根据发现的漏洞严重程度向参与者支付了奖金,但未公开具体的支付金额。
官员们表示,此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系,这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。
许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿,马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目,该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前,Katie Savage曾负责领导国防数字服务部,该部门成功运行了“黑掉五角大楼”(Hack the Pentagon)等漏洞赏金计划。
Savage在新闻稿中表示:“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划,马里兰州能够更快速地发现漏洞,建立与安全研究人员社区的强大长期联系,并确保我们的州更加安全。”
该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示,该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。
Rogers在新闻稿中提到:“州安全管理办公室正在通过采用最新的战略、创新和政策框架,来实现全州范围内的网络安全防御,并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系,我们正在建设一个不仅能自我保护,还能保护其公民的安全州,不论现在还是未来。”
参考资料:https://statescoop.com/maryland-state-bug-bounty-program-2024/
转自安全内参,原文链接:https://www.secrss.com/articles/71270
封面来源于网络,如有侵权请联系删除
