雖然Gartner沒有專門為漏洞賞金或眾包安全測試繪制魔力象限，但Gartner Peer Insights列出了24家“應用眾包測試服務”類供應商。

如果想增強公司現有軟件測試武器庫，納入全球安全研究人員的知識和專業技能，那您不妨看看下列5個極具前景的漏洞賞金平臺。

1. HackerOne

網址：https://www.hackerone.com/

作為背后站著眾多著名風險資本家的獨角獸公司，HackerOne可能是全世界知名度最高、最受認同的漏洞賞金品牌了。

其最近的年報顯示，超過1700家公司信任HackerOne平臺，放心依托HackerOne增強自身內部應用安全測試能力。報告還宣稱，HackerOne的安全研究人員僅2019年一年就掙到了約4000萬美元賞金，累積賞金數額更是高達8200萬美元。

HackerOne的名聲還來自于托管美國政府漏洞賞金計劃，包括美國國防部和美國陸軍的漏洞披露計劃。與其他一些漏洞賞金計劃和漏洞披露計劃(VDP)類似，HackerOne如今還提供依托全球資深安全研究人員的滲透測試服務。HackerOne的安全認證十分完備，包括ISO 27001和FedRAMP授權。

2. BugCrowd

網址：https://www.bugcrowd.com/

網絡安全專家Casey Ellis創立的BugCrowd可能是最具創新性的漏洞賞金平臺了。BugCrowd不僅積極推動傳統眾包安全測試服務，還倡導攻擊界面管理和針對物聯網、API甚至網絡的一系列滲透測試服務，在快速成長的眾包安全市場上領先其他競爭對手。BugCrowd還適度推廣各種軟件開發生命周期(SDLC)集成功能，方便客戶高效整合和推動DevSecOps工作流。

Amazon、VISA、eBay等行業巨頭，以及備受尊崇的(ISC)² 網絡安全教育協會都將漏洞賞金計劃交托給BugCrowd。很多安全研究新手也因BugCrowd大學、持續不斷的安全網絡研討會和培訓而熟知BugCrowd。這個創新平臺將其客戶的研究人員有機結合了起來。

3. OpenBugBounty

網址：https://www.openbugbounty.org/

在我們的名單上，飛速發展的OpenBugBounty項目是僅有的一個非營利性漏洞披露和漏洞賞金平臺。Alexa排名顯示，OpenBugBounty即將成功超越其絕大多數商業競爭對手。

依托1200多個活躍漏洞賞金計劃，如果漏洞經由非侵入式方法檢測，OpenBugBounty還允許在任意網站上協同披露這些漏洞。在OpenBugBounty上創建漏洞賞金計劃是完全免費的，無需支付研究人員酬金，但鼓勵至少感謝研究人員的付出，并公開推薦他們。

OpenBugBounty為奧地利電信A1和Drupal等公司托管漏洞賞金計劃，有2萬多名安全研究人員投身其中，截至目前提交了近80萬個安全漏洞。該平臺表示，其策略和披露流程遵循ISO 29147標準。

OpenBugBounty還與各國CERT(計算機應急響應小組)和執法機構合作，為他們提供免費API接入平臺，同時在研究人員公開披露其漏洞發現之前保密漏洞詳情。

4. SynAck

網址：https://www.synack.com/

背靠英特爾投資部和凱鵬華盈(Kleiner Perkins)等多家知名風險投資基金，2015年到2019年，SynAck四度蟬聯CNBC(美國消費者新聞與商業頻道)“顛覆者”稱號。SynAck處于商業漏洞賞金平臺頂部，也入選了Gartner企業軟件初創公司Top 25。

SynAck由安全遠見者、前美國國家安全機構雇員Jay Kaplan和Mark Kuhr聯合創立，提供經全面審核的網絡安全研究人員組成的精英團隊“紅隊”(SRT)。SynAck表示，SRT小組的安全專家背景清晰，行業經驗豐富。

由于對紅隊成員進行詳盡全面的盡職審查，并記錄其全部活動供未來分析或審核，SynAck成功躋身可信眾包安全測試服務領頭羊之列。而且，SynAck還與行業領導者建立了合作伙伴關系和技術聯盟，包括微軟、AWS和HPE，表現出了強勁的成長潛力。

5. YesWeHack

網址：https://www.yeswehack.com/YesWeHack是2021年的新星。作為歐洲漏洞賞金和漏洞披露公司之一，YesWeHack成功吸引了注重嚴格隱私與保護數據防護的歐盟公司企業。最近，YesWeHack宣布2020年在亞洲錄得破紀錄的250%增長率，證明了歐洲初創公司全球擴張的能力。

與BugCrowd類似，YesWeHack也做好了投資人才的準備。去年，YesWeHack啟動培訓項目，幫助漏洞賞金獵人借助YesWeHack DOJO平臺磨練黑客技術。該項目提供入門級課程和專注特定安全漏洞的培訓關卡，以及施展身手的訓練環境。

全世界的安全研究人員都可以借助DOJO平臺磨礪其軟件安全測試技術。最后，YesWeHack還展現了吸引法國OVH集團等著名歐洲客戶的能力。

除了上述五大漏洞賞金平臺，市場上還有其他很多獨特而杰出的平臺，比如身為歐洲主流道德黑客網絡之一的Intigriti。

漏洞賞金計劃已開始從純眾包安全測試向綜合網絡安全平臺轉型，提供經典滲透測試和大量其他服務。我們目前很難預測漏洞賞金平臺相對于傳統托管安全服務提供商(MSSP)和網絡安全供應商到底有多成功，但是，漏洞賞金無疑開創了極具潛力的新型市場定位。

正如幾十年前開源Linux撼動微軟商業閉源操作系統，隨后誕生數十億美元Red Hat業務，開放自由的OpenBugBounty項目正促進漏洞賞金計劃不斷成熟。

這標志著漏洞賞金市場在逐步壯大，變得更具競爭力，越來越多的新玩家不斷投身其中。我們可以預計，未來將有更多風險資本加入，會出現更多并購交易，推動眾包安全市場繼續擴張。