【51CTO.com快譯】1Password最近已經將其***bug賞金由原先的2萬5千美元提高至10萬美元，此次提價自然是為了進一步激勵安全研究人員。另外，谷歌公司去年則為其bug賞金計劃總計支付達300萬美元。

但是，這些數字到底是如何確定的?

Bugcrowd公司運營副總裁David Baker認為，如此可觀的金額意味著企業已經開始認真考慮安全漏洞在市場上的實際價值。

[[186114]]

“一個bug到底價值幾何?”這無疑是眾包安全測試當中最為常見的問題所在，他表示。

“答案雖然隨著bug賞金項目的逐步成熟而快速演變，但此類項目獲得成功的關鍵所在卻從未改變——即利用合適的激勵金額敦促研究人員進行工作。然而，大多數企業并不太清楚決定賞金具體金額的各類復雜性因素，”Bakers指出。

為了解決這個問題，Baker分享了他在制定bug賞金計劃時總結出的一些經驗，包括如何及何時提高賞金額度，以及企業該如何充分利用自己的賞金項目。

· 千里之行，始于足下: 在對項目進行初步定義時，必須強調獲取成功的重要性。首先，至少應明確告知研究人員應該測試什么、不該測試什么——這對于獲取理想結果而言至關重要。另外，這種明確的區間劃分也能夠有效控制賞金額度。畢竟作為發起者，企業有必要了解特定漏洞可能帶來的損失水平，并據此考慮設置怎樣的獎金。

· 定義bug的實際價值: 這是企業在制定項目成功標準時最需要回答的重要問題之一，而具體答案則取決于企業自身的目標乃至安全團隊規模。隨著越來越多的企業將其業務及安全目標同眾包安全計劃聯系起來，我們發現研究人員參與其中的動機與活躍性皆呈現上升趨勢。通過仔細了解并評估潛在漏洞對業務的影響，同時比較市場中的過往案例，企業能夠更準確地定義何時哪些特定bug最為重要(事實上，bug的重要度確實會不斷變化)。

· 選擇合適的時間與價格: 企業的安全成熟度決定著bug的實際價位。毫無疑問，安全成熟度高的企業往往更關注安全流程，因此需要投入更多時間與精力才能找到被其遺漏的bug。在這類項目中，大家***立足優先級制定賞金計劃，但請記住，要給出與付出相符的回報。

· 建立具有競爭力的項目: 目前，bug賞金市場正在快速增長，并導致各項目之間存在激烈的競爭。如果缺少適當的引導，不少企業的項目會缺乏競爭力并導致吸引不到出色的研究人員。除了現金獎勵，我們還應考慮大力宣傳并發布有趣的目標——因為人才也樂于將自己的發現公諸于眾。這不僅能夠肯定其技能或者知識水平，幫助其所帶領的團隊及用戶了解如何發現bug，同時也能夠為個人提供良好的就業機遇及社區影響力。

· 營銷的力量: 另外，不要忽視bug賞金項目對于企業自身的營銷效果。不少企業利用其bug賞金計劃作為展示自身安全水平的機會。提高獎勵額度亦能夠證明您一直在認真對待企業自身及客戶的安全保障工作。

原文標題：How much is a bug worth?   原文作者：Ryan Francis

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】