身处美中风暴中的视频社交应用TikTok近日宣布,与漏洞众测平台HackerOne合作推出漏洞奖励计划,邀请全球白帽子报告其TikTok网站、Android应用、iOS应用的安全漏洞。

TikTok漏洞奖励计划基于CVSS规范评估漏洞危害,分为严重、高、中、低四档,其中低危漏洞奖金在50-200美元之间,中危漏洞为200-1700美元,高危漏洞为1700-6900美元,严重漏洞为6900-14800美元。

这是一个标准较高的HackerOne漏洞奖励计划,据统计数据显示,TikTok目前已为此支付超过4万美元奖金。

碰巧的是,TikTok母公司字节跳动在今年7月刚刚更新了国内漏洞报告规则,提升了漏洞奖金,我们可以比较下双方的差别。

字节跳动安全中心(ByteSRC)的漏洞等级也分为严重、高危、中危、低危四等,不过同等漏洞在不同业务的奖金不同。今日头条、抖音、西瓜视频等核心业务属于高系数类,奖励金额最高,严重漏洞最多可获得1.8万元奖金,边缘业务如接管投资、合资公司的业务则最多只有2400元。

对比上述内容可以看出,抖音距离其国际版TikTok的漏洞奖金差距不小,虽然两者同出一源,但随着TikTok在国际市场上炙手可热,两者的“安全价值体现”也拉开了接近7倍差距。

众所周知,国内公司的漏洞奖励比国外低很多,字节跳动属于头部公司中做得不错的,如果把列表拉长,我们会发现还有差距更大的,比如:

有白帽子表示,美国IT行业平均薪资水平是国内的3倍以上,也就意味着漏洞赏金支出是国内的3倍来说是完全合理的,但现实情况是国内给的钱差太多,导致许多人为国外挖漏洞,安全能力流失。

如何改善这一现象,还任重道远。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。