5大bug赏金平台观看2021

虽然Gartner还没有专门的缺陷奖励或群组安全测试幻方图，但Gartner Peer Insights已经将24家供应商列为“应用程序群组测试服务”类别。

我们已经为那些希望利用国际安全研究人员的知识和专业知识增强现有软件测试库的人编制了5个最有希望的漏洞奖励平台：

作为一只独角兽，由众多知名风险投资家支持，HackerOne可能是世界上最知名、最受认可的臭虫赏金品牌。

根据他们最近的年度报告，超过1700家公司信任HackerOne平台来增强其内部应用程序安全测试能力。该报告同样表示，他们的安全研究人员仅在2019年就获得了约4000万美元的奖金，累计为8200万美元。

哈克龙还以主持美国政府的漏洞赏金计划而闻名，其中包括美国国防部和美国陆军漏洞披露计划。与其他一些提供漏洞奖励和漏洞披露程序（VDP）的商业提供商一样，HackerOne现在也提供渗透测试服务，其中有来自全球各地经过审查的安全研究人员。HackerOne拥有可靠的安全认证组合，包括ISO 27001和FedRAMP授权。

2.人群

BugCrowd由网络安全专家凯西·埃利斯（Casey Ellis）创建，可能是最具创意和创造力的漏洞赏金平台。BugCrowd不仅积极推广传统的人群安全测试服务，还积极推广针对物联网、API甚至网络的攻击面管理和广泛的渗透测试服务，在快速增长的人群劳动力市场上领先于竞争对手。

BugCrowd还贴切地宣传了许多软件开发生命周期（SDLC）集成能力，使DevSecOps工作流对其富有的客户来说更快、更容易。

BugCrowd因为亚马逊、VISA和eBay等行业巨头以及受人尊敬的ISC和#178；网络安全教育协会。由于BugCrowd大学、正在进行的安全网络研讨会以及BugCrowd为客户和研究人员巧妙组织的培训，许多安全研究的初学者对BugCrowd非常熟悉。

3.赏金

飞速发展的OpenBugBounty项目是我们名单上唯一一个非营利漏洞披露和Bug Bounty平台。其Alexa rank表示，OpenBugBounty即将成功超越其大多数商业竞争对手。

OpenBugBounty拥有1200多个活跃的漏洞赏金程序，如果问题是通过非侵入性手段检测到的，它还允许在任何网站上协调披露安全问题。Bug Bounty项目的创建是完全免费的，网站所有者不需要向研究人员支付金钱——但鼓励他们至少感谢研究人员，并为他们的努力提供公开推荐。

OpenBugBounty为A1 Telekom Austria和Drupal等公司提供漏洞奖励计划，迄今已提交超过20000名安全研究人员和近800000个安全漏洞。该平台表示，其政策和披露流程基于ISO 29147标准。

OpenBugBounty还与国家认证和执法机构合作，向他们提供平台的免费API，同时对漏洞细节保密，除非研究人员向公众披露其发现。

4.同步

在英特尔资本（Intel Capital）和凯鹏华盈（Kleiner Perkins）等众多知名风投基金的支持下，SynAck从2015年到2019年连续四次被评为“CNBC颠覆者”公司。SynAck位于商业漏洞赏金平台之上，该平台也被评为Gartner的25家企业软件初创公司。

SynAck由美国国家安全机构的安全梦想家和著名退伍军人杰·卡普兰（Jay Kaplan）和马克·库尔（Mark Kuhr）创建，它提供了一支由经过彻底审查的网络安全研究人员组成的精英团队，称为“红色团队”（SRT）。根据SynAck的说法，SRT小组由具有经过验证的背景和可靠行业经验的安全专家组成。

SynAck通过对其红色团队进行全面尽职调查并记录其所有活动以供未来分析或审查，成功地将自己定位为可信人群安全测试服务的领导者。最后，SynAck成功地与包括微软、AWS和HPE在内的行业领导者建立了合作伙伴关系和技术联盟，显示出强大的进一步增长潜力。

5.是的

YESWHACK是我们2021的评级新星。YesWeHack是一家欧洲漏洞赏金和漏洞披露公司，它有效地吸引了总部位于欧盟的公司，这些公司主要关注的是严格的隐私和数据保护。最近，YesWeHack宣布2020年亚洲地区的增长率达到创纪录的250%，这表明欧洲初创企业有能力在全球范围内扩张。

与BugCrowd类似，YesWeHack也做好了投资人力资本的准备。去年，它启动了一个培训项目，帮助臭虫赏金猎人通过YesWeHack DOJO平台磨练他们的黑客技能。它的特色是针对特定安全漏洞和游乐场的入门课程和培训挑战。

通过DOJO，来自世界各地的安全研究人员可以提高他们的软件安全测试技能。最后，YesWeHack令人信服地展示了其吸引法国OVH集团等知名欧洲客户的能力。

虽然本文旨在列出5个漏洞赏金平台，但市场上还有许多其他优秀而独特的平台，包括欧洲领先的道德黑客网络之一Intigriti。

漏洞奖励已经开始从纯粹的人群安全测试向多功能网络安全平台转变，提供经典的渗透测试和大量其他服务。如今，很难预测他们的产品相对于传统的MSSP和网络安全供应商会有多成功；然而，虫子的慷慨肯定创造了一个具有强大潜力的新市场。

而开放和免费的OpenBugBounty项目带来了业务的成熟，就像几十年前开源Linux对抗微软那样，后来催生了数十亿红帽业务。

这表明臭虫赏金市场正在变得更大、更具竞争力，而新来者仍在加入游戏。我们可能会期待更多的风险投资和并购；A.促进人群安全市场进一步扩大的交易。