新加坡政府科技局 （GovTech） 周二在 HackerOne 上推出了一項(xiàng)新的漏洞獎(jiǎng)勵(lì)計(jì)劃 （VRP），提供高達(dá)150,000 美元的漏洞賞金獎(jiǎng)勵(lì)。

　　政府科技局（GovTech）推出的這項(xiàng)新的漏洞獎(jiǎng)勵(lì)計(jì)劃（VRP），旨在進(jìn)一步加強(qiáng)現(xiàn)有的政府漏洞獎(jiǎng)勵(lì)計(jì)劃（GBBP）和漏洞披露計(jì)劃（VDP）。這三個(gè)眾包漏洞挖掘項(xiàng)目補(bǔ)充了GovTech的網(wǎng)絡(luò)安全能力，以保護(hù)政府的信息通信技術(shù)和智能系統(tǒng)（ICT&SS）。

　　除了政府進(jìn)行的常規(guī)滲透測試之外，這三個(gè)眾包漏洞挖掘項(xiàng)目還提供了連續(xù)報(bào)告和季節(jié)性深入測試的混合功能，以挖掘更大的社區(qū)。雖然公眾可以通過VDP報(bào)告所有面向互聯(lián)網(wǎng)的系統(tǒng)的可疑漏洞，但由于涉及的系統(tǒng)價(jià)值較高，GBBP和VRP只對“白帽”黑客（或道德黑客）開放進(jìn)行測試。季節(jié)性的GBBP側(cè)重于每次迭代中選定的系統(tǒng)，而新的VRP旨在持續(xù)測試更廣泛的關(guān)鍵ICT系統(tǒng)，這些系統(tǒng)對于我們數(shù)字經(jīng)濟(jì)中持續(xù)提供必要的服務(wù)是必要的。

　　VRP會(huì)根據(jù)挖掘漏洞的嚴(yán)重程度等級(jí)，向白帽黑客提供250美元到5000美元不等的獎(jiǎng)金。如果發(fā)現(xiàn)可能對選定系統(tǒng)和數(shù)據(jù)造成異常影響的漏洞，將獲得高達(dá)15萬美元的特別獎(jiǎng)勵(lì)。這項(xiàng)特別獎(jiǎng)勵(lì)是以谷歌和微軟等全球科技公司實(shí)施的眾包脆弱性項(xiàng)目為基準(zhǔn)的。這表明新加坡政府致力于保護(hù)關(guān)鍵ICT系統(tǒng)和敏感個(gè)人數(shù)據(jù)的安全。

　　該計(jì)劃將首先涵蓋三個(gè)系統(tǒng)：Singpass和Corppass （GovTech）；會(huì)員電子服務(wù)（Ministry of Manpower - Central providfund Board）；和工作證綜合系統(tǒng)（人力資源部）。更多關(guān)鍵的信息和通信技術(shù)系統(tǒng)將逐步加入該方案。

　　由于這些系統(tǒng)對提供重要的數(shù)字政府服務(wù)至關(guān)重要，只有符合嚴(yán)格標(biāo)準(zhǔn)的白帽黑客才會(huì)被允許參與。這些檢查將由指定的漏洞賞金公司HackerOne進(jìn)行。注冊參與者將通過HackerOne提供的指定虛擬專用網(wǎng)（VPN）網(wǎng)關(guān)進(jìn)行安全測試。這是為了確保安全測試活動(dòng)在允許的業(yè)務(wù)規(guī)則（ROE）范圍內(nèi)。如果參與者違反ROE，他們的VPN訪問可能被撤銷，以最大限度地減少對政府系統(tǒng)完整性的潛在破壞。

　　GovTech管理和網(wǎng)絡(luò)安全助理行政總裁Lim Bee Kwan女士表示：“自2018年推出首個(gè)眾包漏洞挖掘項(xiàng)目以來，我們已經(jīng)與1000多名高技能白帽黑客合作，發(fā)現(xiàn)了約500個(gè)有效漏洞。新的漏洞獎(jiǎng)勵(lì)計(jì)劃將允許政府進(jìn)一步挖掘全球網(wǎng)絡(luò)安全人才池，對我們的關(guān)鍵系統(tǒng)進(jìn)行測試，確保公民數(shù)據(jù)的安全，以建立一個(gè)安全可靠的智能國家。”