美國國土安全部對眾測白帽子的要求

美國國土安全部（DHS）邀請安全研究人員尋找漏洞并侵入其系統，以期加強自身面對惡意攻擊的防御能力。

美國國土安全部啟動“黑掉國土安全部”（Hack DHS）漏洞賞金計劃，意圖“發現國土安全部某些系統中的潛在網絡安全漏洞，提升部門的網絡安全彈性。”

美國國土安全部部長亞歷杭德羅·馬約卡斯（Alejandro Mayorkas）在彭博技術峰會上宣布了該計劃，稱“黑掉國土安全部”將分為三個階段：

1、黑客對國土安全部某些外部系統進行線上虛擬評估。

2、黑客親身參與現場攻擊活動。

3、國土安全部識別和審查暴露出來的問題，規劃未來的漏洞賞金。

美國國土安全部部長馬約卡斯表示，將根據漏洞的嚴重程度，為所發現的每個漏洞支付500~5000美元的賞金。想要獲得獎勵，安全研究人員必須向國土安全部披露漏洞的全部細節，包括漏洞利用方式，以及惡意黑客會怎么利用此漏洞來竊取信息。

當然，漏洞賞金也不是什么近些年才出現的新鮮事物。許多私營部門公司開展漏洞賞金計劃推動負責任的漏洞披露，近年來，美國陸軍和國防部等機構為預先批準的安全研究人員參與漏洞搜尋提供了經濟獎勵。

“黑掉國土安全部”漏洞賞金計劃不打算重新發明輪子，而是似乎想要吸取此類漏洞眾測計劃的經驗，確保制定強有力的指導方針，防止隨之而來的混亂。

因此，預期“黑掉國土安全部”會跟隨“黑掉五角大樓”（Hack the Pentagon）漏洞賞金計劃的腳步，參考以下規則：

? 白帽子黑客必須預先注冊，并獲得批準，才能參與此項計劃。

? 參與者必須具有在美國工作的資格。

如果你居住在目前正遭受美國貿易制裁的國家或地區，那你就不具備參與該計劃的資格。所以，該計劃不歡迎敘利亞黑客和朝鮮黑客！

? 參與者不能出現在美國財政部的涉恐、涉毒、涉其他犯罪的邪惡個人與團伙黑名單上。

? 每個參與者都必須同意接受背景調查。

此外，美國國土安全部將就納入眾測的系統范圍和接受報告的漏洞類型設置嚴格的條件。

視野放寬，最高5000美元的漏洞賞金并不算特別慷慨，尤其是考慮到企業為其他漏洞搜尋計劃支付的賞金時。但可以想見，如果能夠幫助美國國土安全部消除其系統中潛藏的高危安全漏洞，一些安全研究人員應該會珍視由此獲得的榮譽和成就感。