保障Zoom和用户的网络安全：2022年Zoom“漏洞奖金”计划回顾

网络安全，速度为先。我们争分夺秒，为的是比黑客更早发现系统漏洞和潜在风险。为此，我们要善加利用白帽黑客（道德黑客）社群的力量，帮助我们防患于未然。

Zoom凭借漏洞奖金计划（Zoom Bug Bounty program）的助力，与专业研究人员建立联系并将其招募于计划中，以协助我们主动降低系统风险，为客户创造更安全的使用环境。在过去一年中，该计划取得了卓越成就，在此我们将带您一同对这项计划进行回顾：

2022年回顾

虽然Zoom每天都会对基础设施进行测试，但是我们也难免受到边缘用例（edge-case）漏洞的影响。因此，我们寻求白帽黑客的支援，他们将协助我们发现只在特定情况下才会暴露的系统漏洞。

自设立以来，Zoom的漏洞奖金计划致力于招募熟练、高效的研究人员。2022年，我们特别向活跃的网络安全领域人才发出邀请，希望为HackerOne计划扩充力量。我们还将纳新目光投向计划以外，通过H1-702等行业活动招募白帽黑客。

Zoom向辛勤工作的研究人员和准确的漏洞报告给予相应的嘉奖。2023财年，我们向数百位研究人员发放了390万美元的奖励。自计划开始以来，累计发放奖金超过700万美元。

除了找出系统的薄弱环节以外，外部研究人员还以其他形式促进Zoom发展。通过他们提交的报告，Zoom不仅能够发现亟需关注的问题，标记问题的深层原因，改善跨部门协同，还能找到潜在威胁，防患于未然。基于此，过去两年时间里，漏洞奖金报告的解决速度大大提升。

2023年计划更新和未来展望

今年年初，Zoom更新了本财年的漏洞奖金计划。我们评估了目前计划内的研究人员，以确保所有参与者都保持活跃并对项目有所贡献。我们希望以良好的姿态开始新的一年，这需要我们与高水平、高效的研究人员并肩作战。

Zoom的Bug Bounty计划正在执行一套全新的漏洞影响评分系统，以帮助计划中的研究人员实现最佳工作成果。我们仍将沿用作为行业标准的常见漏洞评分系统（CVSS），对报告进行评分。在此基础上，将增加一个漏洞影响评分系统（VISS）作为配套评分系统。VISS能够从13个维度逐个分析系统漏洞对Zoom基础设施、技术和客户数据安全的影响。随着VISS系统投入使用，漏洞奖金计划就能够进一步可靠地衡量系统漏洞的影响，而非作为系统理论上被攻击可能性的参考。

未来的道路

过去一年，Zoom漏洞奖金计划取得长足进展，不论是运行流程、奖励还是测试范围，都持续进步并趋于成熟。我们非常期待见证2023年新评分系统的成效和研究人员将取得的丰硕成果。Zoom将与各方携手，共同保障平台和用户的网络安全。

相关推荐: 印度爆单！弃货率大大飙升，外贸人：“客户全家都感染了”

最近，“失控”的印度疫情成为了全球的焦点，4月中旬以后，每日新增病例均在30万以上，超过了美国单日新增病例的最高纪录，成为全球新冠疫情的“风暴中心”。 在许多媒体报道中，疫情大爆发的印度，被形容为“人间炼狱”。 病例暴增压垮了印度的医疗系统，病床氧气药品告急，…