热点:广收开源高危漏洞，360BugCloud一年挽回全球数亿损失网络法治频道

本篇文章1641字，读完约4分钟

开源软件曾经被认为是技术发烧友的“专业享受”，但现在已经成为许多重要基础设施组件的基本组成部分。

根据《年度开源安全和风险分解( ossra )报告》，年度审计的比较有效的代码库的99%至少包括一个开源组件，开源占所有代码的比例高达70%。 75%的代码库至少包含一个公开漏洞，明显超过每年的60%。 将近一半的代码库包括高风险漏洞，每年增加到49%，每年超过40%。

如果使用具有大客户群的开源软件的漏洞，亿万台设备会瞬间受到影响。 对于随时可能爆发的世界级互联网安全灾难，360安全大脑迅速布局，诞生了360bugcloud开源漏洞响应平台。

“我的洞是我的”，360bugcloud是脆弱性自主谈判新模式

一个漏洞的价值到底有多大？

年初，微软颁发了总额20万美元的奖金，奖励了360脆弱性研究院冰刃实验室研究员发现的hyper-v rce脆弱性。 这种漏洞允许攻击者在一台虚拟机上直接影响大范围的云主机和宿主机的安全。 微软通过社交媒体感谢360安全研究者提出的这一漏洞“保护数十亿顾客”的新闻安全。

对公司来说，管理开源的招聘很重要。 现代应用程序包括许多开源组件，存在安全、许可和代码质量等一系列问题。

360bugcloud开源漏洞响应平台通过漏洞悬赏，将未公开的开源和通用组件的高风险漏洞纳入焦点，降低漏洞被利用的风险，降低开源软件和供应链 其中，360bugcloud与360脆弱性研究院合作，为22个windows脆弱性做出了贡献，得到了感谢，成为这次微软安全公告的最大亮点。 另外，谷歌在5月、6月、7月修复的安卓平台的安全漏洞中，360bugcloud与360孔研究院一起为3个安卓大厅做出了贡献。 在漏洞发掘中，360bugcloud将继续专注于发现、跟踪和防御基础软件漏洞，积极推进制造商及时修复威胁。

上线近年来，360bugcloud平台从世界上收到了大量的开源高危漏洞。 包括0day漏洞和1day漏洞。 这些漏洞的提出保护了包括iot/互联网设备等3950万台、建设系统类2011万台、框架插件类872万台在内的数千万台终端。 涉及政府、企业、事业等一百多个机构，涵盖能源、金融、交通、医疗、电信、教育、政府许多重要领域的行业，不会损害世界上数亿的价值。

与其他平台相比，360bugcloud首次自主谈判的脆弱性提交收录模式和第三方专家的审查机制、“谈了钱后开孔”的新业务模式，使安全研究者全面掌握了脆弱性提交的主动权，他们的支付和各脆弱性

在脆弱性提出的前期，安全研究者只需提出脆弱性影响较大的记述，就可以不提供详细情况而进行谈判信息的表现。 在谈判中，安全研究者可以随时中止。 此外，平台还可以邀请第三方行业知名的安全专家参与判断。 价值信息表现一致后，安全研究者提出漏洞的细节，平台进行验证和收录。

在最近发表的安全研究员匿名调查中，100%的安全研究员对360bugcloud平台第一个“谈钱后开孔”的自主谈判模式给予了8分以上的分数(满分为10分)，78.6%的顾客给予了满分肯定。 在脆弱性定价中，71.4%的安全研究者提供了8分，其中35.7%提供了满分。 另外，关于是否推荐其他“洞友”向360 bug云提交漏洞，100%的客户表示“是，i do！

与合作伙伴合作，360bugcloud是一个大的安全生态

目前，360bugcloud与顶级安全研究员、各src、国内外开源组织社区、知名安全战队和安全制造商等合作伙伴合作，构建脆弱性生态，累计发行脆弱性奖励数千万元， 在6月成立的“rce脆弱性赏金计划夏天”活动中，360bugcloud设置了300万元的脆弱性赏金池，扩大了脆弱性收录范围，鼓励越来越多的安全研究者参加，建设了大的安全生态。

将来，360bugcloud开源漏洞响应平台将继承“trust信任、tenet大体、top权威、together共同建设”的“04t”宗旨，构建“基于信任、基于公正、基于技术”。

标题：热点:广收开源高危漏洞，360BugCloud一年挽回全球数亿损失网络法治频道    地址：http://www.leixj.com/gy/2021/0326/43654.html