压缩这样的软件漏洞并不容易。从逻辑上讲,开发人员不可能发现并修复所有可能的错误,但用户和客户确实希望他们覆盖最关键的错误。另一方面,开发者和公司只能期望用户报告错误,而不是利用错误谋取私利。不一定,这就是为什么错误的奖励诞生了。现在,一加不再开放一个,而是开放两个这样的项目,以防止今年再次发生两起重大违规事件。
开源圈有句话叫“眼睛越多,bug越浅”。然而,实践中的问题是,那些眼睛通常不会报告错误。更糟糕的是,那些利用发现的知识快速获利一两美元的人。然而,如果你真的通过适当的渠道发现和披露这些错误并获得报酬呢?
像一加新的安全反应中心这样的漏洞赏金项目就是这么做的,承诺为泄露提供金钱奖励,为修复提供更多奖励。一加将根据报告错误的严重程度,提供50至7000美元不等的奖励。然而,它没有披露该系统的标准。
然而,一加并没有就此止步。正如上个月承诺的那样,它已经与专业安全平台HackerOne合作,以吸引更多专业人士测试其系统。该计划要到2020年才会公开,但私人飞行员已经在努力了。当然,关于节目的细节还是比较安静的。
一加的错误奖励不仅涵盖了一些人可能认为的智能手机,还涵盖了一加的所有系统,包括其网站和论坛。这是针对1月和11月的两起事件,这两起事件从他们的网站而不是智能手机上窃取客户数据。