新加坡政府科技局 （GovTech） 周二在 HackerOne 上推出了一項新的漏洞獎勵計劃 （VRP），提供高達150,000 美元的漏洞賞金獎勵。

　　政府科技局（GovTech）推出的這項新的漏洞獎勵計劃（VRP），旨在進一步加強現(xiàn)有的政府漏洞獎勵計劃（GBBP）和漏洞披露計劃（VDP）。這三個眾包漏洞挖掘項目補充了GovTech的網(wǎng)絡(luò)安全能力，以保護政府的信息通信技術(shù)和智能系統(tǒng)（ICT&SS）。

　　除了政府進行的常規(guī)滲透測試之外，這三個眾包漏洞挖掘項目還提供了連續(xù)報告和季節(jié)性深入測試的混合功能，以挖掘更大的社區(qū)。雖然公眾可以通過VDP報告所有面向互聯(lián)網(wǎng)的系統(tǒng)的可疑漏洞，但由于涉及的系統(tǒng)價值較高，GBBP和VRP只對“白帽”黑客（或道德黑客）開放進行測試。季節(jié)性的GBBP側(cè)重于每次迭代中選定的系統(tǒng)，而新的VRP旨在持續(xù)測試更廣泛的關(guān)鍵ICT系統(tǒng)，這些系統(tǒng)對于我們數(shù)字經(jīng)濟中持續(xù)提供必要的服務(wù)是必要的。

　　VRP會根據(jù)挖掘漏洞的嚴(yán)重程度等級，向白帽黑客提供250美元到5000美元不等的獎金。如果發(fā)現(xiàn)可能對選定系統(tǒng)和數(shù)據(jù)造成異常影響的漏洞，將獲得高達15萬美元的特別獎勵。這項特別獎勵是以谷歌和微軟等全球科技公司實施的眾包脆弱性項目為基準(zhǔn)的。這表明新加坡政府致力于保護關(guān)鍵ICT系統(tǒng)和敏感個人數(shù)據(jù)的安全。

　　該計劃將首先涵蓋三個系統(tǒng)：Singpass和Corppass （GovTech）；會員電子服務(wù)（Ministry of Manpower - Central providfund Board）；和工作證綜合系統(tǒng)（人力資源部）。更多關(guān)鍵的信息和通信技術(shù)系統(tǒng)將逐步加入該方案。

　　由于這些系統(tǒng)對提供重要的數(shù)字政府服務(wù)至關(guān)重要，只有符合嚴(yán)格標(biāo)準(zhǔn)的白帽黑客才會被允許參與。這些檢查將由指定的漏洞賞金公司HackerOne進行。注冊參與者將通過HackerOne提供的指定虛擬專用網(wǎng)（VPN）網(wǎng)關(guān)進行安全測試。這是為了確保安全測試活動在允許的業(yè)務(wù)規(guī)則（ROE）范圍內(nèi)。如果參與者違反ROE，他們的VPN訪問可能被撤銷，以最大限度地減少對政府系統(tǒng)完整性的潛在破壞。

　　GovTech管理和網(wǎng)絡(luò)安全助理行政總裁Lim Bee Kwan女士表示：“自2018年推出首個眾包漏洞挖掘項目以來，我們已經(jīng)與1000多名高技能白帽黑客合作，發(fā)現(xiàn)了約500個有效漏洞。新的漏洞獎勵計劃將允許政府進一步挖掘全球網(wǎng)絡(luò)安全人才池，對我們的關(guān)鍵系統(tǒng)進行測試，確保公民數(shù)據(jù)的安全，以建立一個安全可靠的智能國家?！?/p>