论文部分内容阅读
奇虎360推“库带计划”
3月28日,奇虎360公司发布了漏洞悬赏项目“库带计划”,以现金奖励方式征集开源建站系统的漏洞,用以帮助软件公司和开发者及时推出漏洞补丁。
“近99%的网站没有专门的安全运维人员,75.6%的网站存在高危漏洞。”近日,在奇虎360媒体开放日上,奇虎360总裁齐向东认为,这些漏洞给黑客获取网站信息和用户隐私提供了可乘之机。
开源建站软件是“库带计划”征集漏洞的主要对象。对此,齐向东认为:“基于开源软件的网站普遍存在高危漏洞并长期存在,导致更多使用该软件的网站存在安全风险。‘库带计划’正是为了给网站数据库建立一层防护带,使其安全性得以保障。”
“很多政府、学校和中小企业的网站都是第三方建站公司通过开源软件建立的。这些公司在网站搭建好之后就不再对网站的安全性负责,因此对日后爆发的漏洞并不会施以援手。”齐向东表示,“这些网站大多缺乏专业的安全运维人员。这些因素导致了我国大量政府、高校网站被挂马,或者存在高危漏洞,长期得不到解决。”
2012年,奇虎360共发现第三方建站系统高危零日漏洞102个。齐向东表示:“常见的第三方建站系统都是开源的,因此网站用户的数量很大,黑客通过这些零日漏洞可以轻而易举地击溃目标网站。”在他看来,防范黑客利用零日漏洞进行攻击最有效的方法是在该漏洞“被发现以后,扩散之前”秘密通知厂商进行修复,而“漏洞报告平台可建立起漏洞发现者和软件生产商之间的沟通渠道,最大程度地减少漏洞扩散或被滥用的风险”。
在国际上,漏洞报告平台是有效的漏洞防范模式。例如,隶属于惠普公司的ZDI是全球知名的漏洞报告平台。微软安全公告显示,今年3月,微软共修复9个IE浏览器漏洞,其中6个漏洞是由ZDI提交的。
目前,我国还没有建立良性的漏洞发现、报告和修补机制。齐向东表示:“作为國内首个第三方漏洞付费收录平台,360推出的‘库带计划’将针对开源建站系统漏洞进行征集、报告、处理和安全维护,根据漏洞危害等级的不同,对漏洞发现者的奖励金额从100元到10000元不等。”他还表示,360“库带计划”在收到漏洞后,会第一时间将漏洞信息通报给相关厂商、开发者和国家漏洞库,并将漏洞扫描和防护规则加入到360网站安全产品中,保护网站客户不受漏洞影响。据了解,这一项目将帮助国内数百万家网站加强对黑客攻击“拖库”的防范能力。
3月28日,奇虎360公司发布了漏洞悬赏项目“库带计划”,以现金奖励方式征集开源建站系统的漏洞,用以帮助软件公司和开发者及时推出漏洞补丁。
“近99%的网站没有专门的安全运维人员,75.6%的网站存在高危漏洞。”近日,在奇虎360媒体开放日上,奇虎360总裁齐向东认为,这些漏洞给黑客获取网站信息和用户隐私提供了可乘之机。
开源建站软件是“库带计划”征集漏洞的主要对象。对此,齐向东认为:“基于开源软件的网站普遍存在高危漏洞并长期存在,导致更多使用该软件的网站存在安全风险。‘库带计划’正是为了给网站数据库建立一层防护带,使其安全性得以保障。”
“很多政府、学校和中小企业的网站都是第三方建站公司通过开源软件建立的。这些公司在网站搭建好之后就不再对网站的安全性负责,因此对日后爆发的漏洞并不会施以援手。”齐向东表示,“这些网站大多缺乏专业的安全运维人员。这些因素导致了我国大量政府、高校网站被挂马,或者存在高危漏洞,长期得不到解决。”
2012年,奇虎360共发现第三方建站系统高危零日漏洞102个。齐向东表示:“常见的第三方建站系统都是开源的,因此网站用户的数量很大,黑客通过这些零日漏洞可以轻而易举地击溃目标网站。”在他看来,防范黑客利用零日漏洞进行攻击最有效的方法是在该漏洞“被发现以后,扩散之前”秘密通知厂商进行修复,而“漏洞报告平台可建立起漏洞发现者和软件生产商之间的沟通渠道,最大程度地减少漏洞扩散或被滥用的风险”。
在国际上,漏洞报告平台是有效的漏洞防范模式。例如,隶属于惠普公司的ZDI是全球知名的漏洞报告平台。微软安全公告显示,今年3月,微软共修复9个IE浏览器漏洞,其中6个漏洞是由ZDI提交的。
目前,我国还没有建立良性的漏洞发现、报告和修补机制。齐向东表示:“作为國内首个第三方漏洞付费收录平台,360推出的‘库带计划’将针对开源建站系统漏洞进行征集、报告、处理和安全维护,根据漏洞危害等级的不同,对漏洞发现者的奖励金额从100元到10000元不等。”他还表示,360“库带计划”在收到漏洞后,会第一时间将漏洞信息通报给相关厂商、开发者和国家漏洞库,并将漏洞扫描和防护规则加入到360网站安全产品中,保护网站客户不受漏洞影响。据了解,这一项目将帮助国内数百万家网站加强对黑客攻击“拖库”的防范能力。