Netflix公开漏洞奖励项目，Dropbox修改漏洞披露政策

本周三，Netflix 宣布在 Bugcrowd 平台公开其漏洞奖励项目，单个漏洞奖金高达 15000 美元。此外，Dropbox 也修改了其漏洞披露政策，承诺不会起诉漏洞研究员。

Netflix 漏洞奖励计划公开

过去 5 年里，Netflix 也一直有自己的漏洞披露政策，并在 2016 年上线了非公开的漏洞奖励项目，一共帮助 Netflix 修复了 190 个漏洞。其非公开的漏洞奖励项目原本是面向 Bugcrowd 排名前 100 的研究员，而面向公众公开之后，累计有 700 多名白帽子加入了这个阵营。

按照项目规定，只要研究员能找到影响 Netflix 域名或 iOS 和 Android 上 Netflix 应用的漏洞，就能获得 100 美元到 15000 美元不等的奖金。有记录表明，Netflix 曾为一个严重的漏洞发放了 15000 美元的奖金，至今最高的单项奖金。而可提交的漏洞类型则包括 XSS、CSRF、SQL 注入、认证与授权、数据泄露、远程代码执行、重定向、业务逻辑漏洞、MSL 协议问题以及移动 API 问题。Netflix 表示，审核并认证漏洞报告的时间平均不超过三天，效率较高。

Netflix 的工程师很关心自己负责的产品，要求很高的安全性。因此，他们也会尽快处理收到的漏洞报告。我们的安全工程师也可基于奖金基准和漏洞严重程度来自主决定奖励情况。这有助于为研究人员创造一种高效且无漏洞的环境，吸引更多研究人员参与这个项目。

Dropbox 修改漏洞披露政策

在线云协助系统 Dropbox 近日也修改了其漏洞披露政策。Dropbox 的漏洞奖励项目开设在 HackerOne 平台，并没有设置奖金上限。目前，Dropbox 为 220 多个漏洞提供了超过 20 万美元的奖金。

不过，Dropbox 目前的更改不涉及奖金额度，主要针对的是漏洞披露政策。近期，有一些研究人员因为漏洞披露过程而面临法律纠纷，Dropbox 为了避免这种状况，给研究人员提供更好地环境，因此承诺：“根据漏洞披露政策展开的安全研究不会遭到法律诉讼，就算提交漏洞的研究员意外违反了其漏洞奖励项目的条款，也不会遭到起诉。”

Dropbox 表示，允许研究人员公开自己找到的漏洞细节。此外，只要这些研究人员遵守公司的漏洞披露政策，也不会因为《美国千禧年数字版权法》（DMCA）的规定而对他们提起诉讼。

新的政策包括一项关于研究人员遵守《 计算机欺诈与滥用法》、展开“授权行为”的明确规定。此外，只要研究人员的行为符合 Dropbox 的规定，就算他们面临第三方的诉讼，Dropbox 也会帮忙澄清他们的行为已经得到授权。

Dropbox 的漏洞披露政策所有文本内容都可以复制。我们希望为其他企业树立一个榜样，让更多人参与进来，保护漏洞研究员的利益。这些文件是我们法务和安全团队的心血，欢迎有效使用。

相信这两项与漏洞奖励和漏洞披露有关的政策将会为白帽子带来更多利益和保障，快去挖洞吧！