在世界上最大的BUG赏金计划之一内

凭借超过3,500名全球研究人员，发现和公开披露的漏洞3,500个漏洞，迄今为止向研究人员提供超过1500万美元，趋势科技零日倡议（ZDI）是世界上最大的供应商 - 无人团赏金计划之一。

又称漏洞奖励计划，Abug Bounty Programmerewards安全研究人员 - 或White Hat Hackers - 用于发现软件错误，然后披露到要修复的软件供应商。

2016年，ZDI购买并披露了22％的公开发现的Microsoft漏洞，28％的公开披露漏洞在Adobe Software中找到。Zerian Gorenc的两家公司的顶级外部供应商，漏洞研究总监Brian Gorenc在趋势科技。

此外，作为供应商 - 不可知论者意味着ZDI在许多产品中购买错误，而一些供应商只能在自己的产品中购买错误。

“这不仅为我们提供了更多的报告，可以将过滤器转换为保护我们的网络防御客户，它还可以让我们看看整个行业的发生趋势，”Gorenc每周告诉计算机。

也就是说，ZDI是关于它购买的东西的选择性。虽然它收到了许多类漏洞的提交 - 但更新的代码执行，例如 - 权限信息披露的提升 - 它不会购买每个类型的错误，包括占据许多错误赏金程序的浏览站点脚本（XSS）。

“我们购买的错误是对消费者和企业最有影响的影响，这就是为什么我们看到研究人员寻找他们，”Gorenc说。

与任何Bug Bounty程序一样，负责披露键可最大限度地减少用户的漏洞。

Gorenc表示，该倡议的披露进程从提交先前未知，未染成的ZDI的未知漏洞的研究人员开始，这将验证漏洞，确定其价值并向研究人员提供奖励。

由于研究人员发现并提供了额外的研究，奖金和奖励可以通过忠诚度计划增加，类似于频繁的飞行员计划。

其次，ZDI负责任地，并及时通知软件供应商的安全漏洞。供应商约为120天以解决漏洞。

同时，趋势科技研究人员创建一个过滤器，以便在官方补丁准备就绪之前平均72天将其客户免受未括的漏洞。

软件供应商可以为漏洞发出补丁，或者向ZDI指示它无法，或选择不，修补漏洞。

然后，ZDI将根据其脆弱性披露政策公开披露其网站上漏洞的细节。

询问软件公司是否应该更负责导致漏洞的缺陷，但Gorenc表示，虽然他们应该致力于实现开发实践，漏洞是所有软件的必然部分。

“一旦众所周知，公司迅速解决问题很重要，而ZDI很乐意帮助促进世界上一些最大和最广泛部署的软件的过程，”他说。

“对于任何类型的安全事件的名称和羞辱供应商来说，它永远不会趋向于趋势科技方法 - 是否是产品漏洞，违规行为或其他方式。相反，我们专注于使世界安全为每个人交换数字信息。

“ZDI创建了一个协作环境，其中漏洞研究可以积极地利益软件景观，并帮助改善产品，最终目标是防止成功的违规和网络攻击。”