0082] 機密性影響:
[0083] 問題:"對機密性的影響是什么"�;回答:"沒有�。" 對單個用戶是如此。": 0. 275 對不止一個用戶是如此��。" 660
[0084] 完整性影響:
[0085] 問題:"應(yīng)用或用戶數(shù)據(jù)的完整性被折衷了么? "����;回答:"否。" 0 對單個用戶 是如此275 對不止一個用戶是如此���。" 660
[0086] 可用性影響:
[0087] 問題:"該漏洞對應(yīng)用可用性具有任何影響么"����;回答:"否���。" :0. 0 對單個用戶是 如此�。" 275 對不止一個用戶是如此����。" 660
[0088] 下面的是被嵌入漏洞的分類的下一級別中并且與具體指定價格相關(guān)聯(lián)的漏洞的 示例描述:
[0089]
[0090] 產(chǎn)生的價格可以被提供給研究方,并且現(xiàn)有的支付網(wǎng)絡(luò)或其它轉(zhuǎn)賬系統(tǒng)可以被用 于將等價于該價格的費用�����、或其它項目或虛擬貨幣轉(zhuǎn)給研究方�。在實施例中,定價被標(biāo)準化 而不分客戶;這在研究方團體之間設(shè)立預(yù)期值���,所以他們通常知道他們是否找到了他們將 得到指定的金額的具體硬漏洞��。
[0091] 再次參照圖3,在實施例中��,在塊322處��,如上面針對圖1的塊118所一般描述的���, 過程向客戶提供通知。在實施例中���,啟動點計算機206可以容宿持應(yīng)用程序����、web服務(wù)器��、或 提供(服務(wù)提供商的客戶可以登錄到其中的)分開的門戶的等價物�。在實施例中��,由管理 計算機207提供的客戶門戶可以使得客戶能夠經(jīng)由管理員計算機240來獲得和顯示例如已 經(jīng)被研究方計算機202識別�����、并根據(jù)被測網(wǎng)絡(luò)208內(nèi)的具體資產(chǎn)被組織的漏洞的視圖。在 此情境中�����,資產(chǎn)可以包括計算機��、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的元件��、應(yīng)用����、或其它節(jié)點或項目。在一個實 施例中�����,客戶門戶使得客戶能夠改變具體漏洞的狀態(tài)以識別客戶已經(jīng)針對相關(guān)聯(lián)的資產(chǎn)或 針對漏洞整體所采取的補救步驟�。在實施例中,控制邏輯224可以被配置為將表示漏洞報 告和/或補救努力的數(shù)據(jù)輸出到諸如(可從澳大利亞悉尼的Atlassian Pty有限責(zé)任公司 商購的)JIRA之類的缺陷追蹤應(yīng)用�。
[0092] 在實施例中,控制邏輯224可以被配置為促進管理員計算機240和與識別具體漏 洞的研究方相關(guān)聯(lián)的具體研究方計算機202之間的直接通信���。在這樣的實施例中�,啟動點 計算機206可以充當(dāng)用于這樣的通信的中間媒介,并且可以記錄消息��,或用作消息存儲和 轉(zhuǎn)發(fā)服務(wù)��,管理員計算機240可以使用消息存儲和轉(zhuǎn)發(fā)服務(wù)構(gòu)成消息并且請求配送到具體 研究方計算機202���。以這種方式��,啟動點計算機206的具體客戶的管理員計算機240可以重 新接入研究方計算機202,例如以請求重新驗證來檢查具體漏洞是否因為客戶執(zhí)行的補救 操作而被成功地修正或修補�����。在一些實施例中�����,考慮到這樣的重新評價����,管理計算機207或 另一系統(tǒng)可以將固定的費用轉(zhuǎn)給研究方計算機202��。
[0093] 在實施例中��,在圖3的塊314處�����,過程準備反饋數(shù)據(jù)并且將反饋數(shù)據(jù)提供給數(shù)據(jù)庫 240和/或自動風(fēng)險掃描儀204��。例如�����,控制邏輯224可以被配置為將具體漏洞轉(zhuǎn)換為漏洞 的通用描述從而使得相同種類或類型的漏洞能夠在相同類型的其它app中被發(fā)現(xiàn)�����。通用描 述可以根據(jù)通用協(xié)議被格式化或者可以根據(jù)與具體的一個或多個自動風(fēng)險掃描儀204兼 容的操作�、語法、語義或配置數(shù)據(jù)來表達�。以這種方式,由任何研究方計算機202識別的具 體漏洞可以被用于更新自動漏洞掃描儀204,以使得隨著時間過去對于研究方計算機來說 找到新的漏洞變得更困難��。
[0094] 在塊316處���,如上面針對圖1的塊120所一般描述的����,一個或多個主機評估操作 可以被執(zhí)行�����。在一個實施例中,主機評估包括生成表示被測網(wǎng)絡(luò)208中的具體資產(chǎn)的情形 或硬件配置和軟件配置的一組或多組獨特標(biāo)識(fingerprint)數(shù)據(jù)�����。在實施例中�����,獨特標(biāo) 識數(shù)據(jù)可以代表補丁級別的資產(chǎn)的配置��,并且獨特標(biāo)識數(shù)據(jù)可以被提供給自動漏洞掃描儀 204以許可對硬件��、軟件�、和服務(wù)進行改進的掃描。任何形式的簽名數(shù)據(jù)可以被使用�,例如關(guān) 于應(yīng)用語義的。
[0095] 4.用于提升計算機軟件漏洞發(fā)現(xiàn)的安全評估激勵程序
[0096] 實施例可以被用于實現(xiàn)激勵程序以誘導(dǎo)或鼓勵研究方計算機202來定位漏洞�。在 一個實施例中,如上面針對圖1和圖3描述的���,識別計算機漏洞的過程可以集成向研究方提 供���、確定和支付費用作為發(fā)現(xiàn)漏洞的誘因。在一個實施例中���,通過發(fā)布將被付出的費用的大 概范圍���,和關(guān)于具體漏洞的漏洞評分如何被映射到該范圍內(nèi)以產(chǎn)生具體費用的信息,這樣 的方法的誘因利益可以被提升�。以這種方式,本領(lǐng)域的研究方接收關(guān)于費用將被如何確定 和支付的客觀上能理解的信息�����,這將會提高對整個方法和系統(tǒng)的信任���。
[0097] 在另一實施例中��,圖1��、圖3的方法可以用游戲化的操作來補充��。例如�����,在一個實施 例中����,圖1、圖3的方法還包括��,和/或控制邏輯224被配置為提供��,向具體漏洞分配若干分 數(shù)��,而不僅是某一費用����。例如,代表如圖4A所示的漏洞的元數(shù)據(jù)還可以包括最小分值和最 大分值����,且圖4B的過程還可以包括,通過將漏洞評分映射至由最小分值和最大分值限定的 分的范圍之內(nèi)���,確定具體漏洞的具體分值��。在各種實施例中��,可以使用線性映射或非線性映 射�����、加權(quán)和/或比例映射來確定具體分值���。在一個實施例中,映射可以使用混合映射函數(shù)�, 該函數(shù)將漏洞評分值、代表漏洞報告或提交的質(zhì)量的提交質(zhì)量評分��、被測網(wǎng)絡(luò)208中的資 產(chǎn)的感知值���、和/或其他值混合����。
[0098] 進一步地�,圖1、圖3�、和/或控制邏輯224可以被配置為創(chuàng)建、存儲和/或使得顯 示排行榜�,該排行榜標(biāo)識研究方計算機202和研究方已賺得或獲得的總分值或具體分值。
[0099] 圖1���、圖3����、和/或控制邏輯224可以被配置為確定被獎勵給在具體獎勵期間內(nèi)(比 如,具體月份內(nèi))獲得了最高分的研究方計算機202或研究方的一個或多個獎品��。
[0100] 圖1��、圖3�、和/或控制邏輯224可以被配置為創(chuàng)建、存儲和/或使得顯示數(shù)據(jù)�,這 些數(shù)據(jù)基于研究方所賺得或者被獎勵給的總分代表具體研究方計算機202的完成程度。例 如��,具體成績可以與識別具體數(shù)目的漏洞�����、賺得具體數(shù)目的分數(shù)��、或賺得具體總額的費用相 關(guān)聯(lián)��。每一成果可以與諸如徽章的圖標(biāo)相關(guān)聯(lián)����,或可以與獎品、費用���、虛擬貨幣�����、對事件的許 可�����、或其他獎賞��,或?qū)ρ芯糠交蜓芯糠接嬎銠C202的認可相關(guān)聯(lián)����。
[0101] 圖1����、圖3、和/或控制邏輯224可以被配置為促進將分數(shù)兌現(xiàn)為與研究方計算機 202的白帽角色一致的事物����。例如,圖1���、圖3����、和/或控制邏輯224可以被配置為促進將在 任意前述的實施例中被獎勵的分數(shù)兌換為旅行、禮物�、餐券或其他物品。圖1��、圖3����、和控制 邏輯224可以被配置為使用到外部系統(tǒng)的接口并根據(jù)規(guī)定的轉(zhuǎn)換比率執(zhí)行使用這些方法 或系統(tǒng)賺得的分數(shù)到外部系統(tǒng)(包括積分系統(tǒng))的轉(zhuǎn)換,其中規(guī)定的轉(zhuǎn)換比率將發(fā)現(xiàn)計算 機漏洞所賺得的分數(shù)變換為航線分數(shù)�����、賓館分數(shù)����、就餐分數(shù)、或第三方系統(tǒng)的其他種類的分 數(shù)
[0102] 5.實施方式示例一硬件概述
[0103] 根據(jù)一個實施例����,這里所描述的技術(shù)由一個或多個專用計算設(shè)備來實現(xiàn)。專用計 算設(shè)備可以為硬連線的以執(zhí)行這些技術(shù)���,或可以包括被永久地編程為執(zhí)行這些技術(shù)的數(shù)字 電子設(shè)備(比如��,一個或多個專用集成電路(ASIC)或者現(xiàn)場可編程門陣列(FPGA))����,或者可 以包括被編程為依照固件、存儲器���、其他存儲設(shè)備��、或其組合中的程序指令來執(zhí)行這些技術(shù) 的一個或多個通用處理器�����。這樣的專用計算設(shè)備還可以將定制的硬連線邏輯、ASIC�����、或FPGA 與定制編程相組合來完成這些技術(shù)�。專用計算設(shè)備可以為臺式計算機系統(tǒng)、便攜式計算系 統(tǒng)�、手持設(shè)備、聯(lián)網(wǎng)設(shè)備���、或包含用于實現(xiàn)這些技術(shù)的硬連線和/或程序邏輯的任何其他設(shè) 備��。
[0104] 例如�����,圖5為示出了計算機系統(tǒng)500的框圖����,本發(fā)明的實施例可以在計算機系統(tǒng) 500上被實現(xiàn)。計算機系統(tǒng)500包括用于傳送信息的總線502或其他通信機制��,和與總線 502相耦合的��、用于處理信息的硬件處理器504���。例如��,硬件處理器504可以為通用微處理 器�。
[0105] 計算機系統(tǒng)500還包括耦合至總線502的��、用于存儲信息和將由處理器504執(zhí)行 的指令的主存儲器506,比如���,隨機訪問存儲器(RAM)或其他動態(tài)存儲器設(shè)備����。主存儲器506 還可以被用于存儲在將由處理器504執(zhí)行的指令的執(zhí)行期間的臨時變量或其他中間信息。 這些指令�����,當(dāng)存儲于可被處理器504訪問的非易失性存儲介質(zhì)中時�,使得計算機系統(tǒng)500成 為專用機,該專用機被定制為執(zhí)行在這些指令中所指定的操作����。
[0106] 計算機系統(tǒng)500還包括耦合至總線502的、用于存儲靜態(tài)信息和用于處理器504 的指令的只讀存儲器(ROM) 508或其他靜態(tài)存儲器設(shè)備����。存儲器設(shè)備510 (比如,磁盤或光 盤)被提供給并耦合至總線502以用于存儲信息和指令���。
[0107] 計算機系統(tǒng)500可以通過總線502被耦合至諸如陰極射線管(CRT)之類的顯示器 512,以向計算機用戶顯示信息。包括字母數(shù)字和其他鍵的輸入設(shè)備514被耦合至總線502��, 以向處理器504傳送信息和命令選擇��。另一類型的用戶輸入設(shè)備為用于向處理器504傳送 光標(biāo)方向信息和命令選擇并用于控制光標(biāo)在顯示器512上的移動的光標(biāo)控制516,比如�,鼠 標(biāo)、軌跡球���、或光標(biāo)方向鍵����。這一輸入設(shè)備通常具有允許設(shè)備在平面中指定位置的在兩個軸 (第一軸(例如,X)和第二軸(例如���,y))上的兩個自由度��。
[0108] 計算機系統(tǒng)500可以使用定制的硬連線邏輯�����、一個或多個ASIC或FPGA��、固件和/ 或程序邏輯來實現(xiàn)這里描述的技術(shù)�,其中定制的硬連線邏輯�����、一個或多個ASIC或FPGA�、固 件和/或程序邏輯與計算機系統(tǒng)相結(jié)合使得計算機系統(tǒng)500成為或?qū)⒂嬎銠C系統(tǒng)500編程 為專用機。根據(jù)一個實施例�,響應(yīng)于處理器504執(zhí)行包含于主存儲器506中的一條或多條 指令的一個或多個序列,這里的技術(shù)被計算機系統(tǒng)500執(zhí)行����。這樣的指令可以從諸如存儲 器設(shè)備510之類的另一存儲介質(zhì)讀入主存儲器506�。包含于主存儲器506中的指令序列的 執(zhí)行使得處理器504執(zhí)行這里描述的過程步驟���。在可替代的實