3Com及其TippingPoint部门宣布了一个“ZDI”计划(Zero Day Initiative):凡是提供软件漏洞信息的安全研究人员都可以获得相应的报酬。
根据该计划,公司会向提供软件漏洞信息的研究人员支付现金报酬,并将这些信息与有关的厂商共享研究,然后通过其数字疫苗服务为用户提供更好的安全保护。另一方面,得到报酬的研究人员必须签署保密协议,承诺在3Com公开相关信息之前不会对外透露任何消息。
从本周开始,安全研究人员就可以通过3Com网站入口http://www.zerodayinitiative.com/)登记并加入该计划了。而从下个月开始,研究人员就可以在此汇报漏洞信息,3Com的工作人员会予以确认并监控漏洞的发展状况。
3Com将在本周拉斯维加斯召开的Black Hat Briefings安全大会上从黑客和计算机安全专家中招募计划参与者。
3Com并未透露具体的支付数额,但研究主管Dave Endler说支付金额会根据汇报信息所属的不同安全等级而有所不同,漏洞是否具有普遍性、是否可以被远程利用、对系统的危害程度如何等因素都会影响支付的金额。
3Com表示,公司在得到汇报信息后会迅速通报受影响的厂商,并与之共同研究解决方法。
eEye Digital Security公司联合创始人兼首席黑客官(CHO)Marc Maiffret表示,该计划是对安全研究人员聪明才智的最好回报。他说:“如果你是独自一个人,花一年的时间来和微软合作制作一个补丁是不值得的。一个明智的人应该做更多的工作。”
