近日，Hackone公布了2020年十大漏洞赏金项目TOP10榜单，该列表基于HackerOne项目目录中的公共信息，排名依据每家企业在2020年4月（包括之前）向黑客支付的累计赏金总额。

榜单排名具体如下（红色字体为单项最高或最低数值）：

第一名：Verizon Media

行业：数字媒体

总支付赏金：940.8万美元

最高赏金：7万美元

答谢黑客：1315名

解决报告问题：5928个

初次响应时间：8小时

奖金支付平均账期：13天

第二名：Paypal

行业：互联网金融、支付

总支付赏金：279万美元

最高赏金：3万美元

答谢黑客：371名

解决报告问题：755个

初次响应时间：4小时

奖金支付平均账期：17天

第三名：Uber

行业：互联网、共享出行

总支付赏金：241.5万美元

最高赏金：5万美元

答谢黑客：635名

解决报告问题：1466个

初次响应时间：5小时

奖金支付平均账期：90天

第四名：英特尔

行业：半导体、芯片制造

总支付赏金：189.7万美元

最高赏金：未知

答谢黑客：96名

解决报告问题：未知

初次响应时间：未知

奖金支付平均账期：未知

第五名：Twitter

行业：互联网、社交媒体

总支付赏金：128.8万美元

最高赏金：2.016万美元

答谢黑客：842名

解决报告问题：1160个

初次响应时间：12小时

奖金支付平均账期：8天

第六名：GitLab

行业：软件开发

总支付赏金：121.1万美元

最高赏金：2万美元

答谢黑客：250名

解决报告问题：581个

初次响应时间：1小时

奖金支付平均账期：19天

第七名：Mail.ru

行业：互联网、电子邮件

总支付赏金：111.9万美元

最高赏金：2万美元

答谢黑客：973名

解决报告问题：3333个

初次响应时间：5小时

奖金支付平均账期：17天

第八名：GitHub

行业：软件开发

总支付赏金：98.7万美元

最高赏金：2.5万美元

答谢黑客：310名

解决报告问题：535个

初次响应时间：15小时

奖金支付平均账期：13天

第九名：Valve

行业：在线游戏、PC游戏平台

总支付赏金：95.1万美元

最高赏金：2万美元

答谢黑客：322名

解决报告问题：589个

初次响应时间：9小时

奖金支付平均账期：60天

第十名：Airbnb

行业：互联网、在线旅游、共享房屋出租

总支付赏金：94.4万美元

最高赏金：1.5万美元

答谢黑客：353名

解决报告问题：775个

初次响应时间：5小时

奖金支付平均账期：19天

由于HackOne的榜单仅有排名和基础数据，以下，安全牛尝试解读这份榜单背后的隐含信息和趋势：

漏洞赏金总额和最高赏金创新高。2020年漏洞赏金项目TOP10企业的总奖金（累计）已经超过2300万美元，其中Verizon Media已通过HackerOne的平台向白帽黑客支付了近1000万美元。

TOP10企业主要集中在互联网金融、在线游戏、软件开发、在线旅游、社交媒体几大领域。这些企业的一个很大共同点就是存储大量高价值用户信息，是黑客的热门攻击目标，数据泄露和违规事件不但会给平台自身造成严重损失，同时也会波及其他行业。

再次强调漏洞披露的必要性。白帽黑客社区的漏洞披露规则向来是个颇具争议性的话题。HackerOne首席技术官兼联合创始人Alex Rice在一封电子邮件声明中说：“在HackerOne，默认披露是我们的价值观之一。尽管这不是我们的客户和黑客的强制性要求，但我们鼓励每个客户都考虑一下。通过分享我们容易受到攻击的地方，其他防御者可以学习，道德黑客可以从中学习，最终我们都更加安全。”

2020年排名发生较大变化。2020年贝宝（PayPal）奖金总额超越了优步（Uber），位居第二，后者降到了第三位。自2018年8月与HackerOne共同发起漏洞赏金计划以来，Paypal迄今已支付了280万美元，其中最高奖金为3万美元（自2012年以来的累计总奖金为600万美元）。

GitHub和Mail.ru都是今年前10名中的新成员。而GitLab则从2019年的第10位跃升至第6位，1月份支付了100万美元。

漏洞响应和赏金支付提速。白帽子黑客最喜欢的漏洞赏金计划通常有三个特征，报告响应迅速、支付金额高、支付速度快。为了吸引更多高水平白帽子黑客关注，TOP10漏洞赏金项目的漏洞响应速度明显加快，有五家企业的首次响应时间不到5小时，其中Gitlab的响应速度最快，在1小时内。

从数据统计来看，总赏金排名第二的PayPal的首次响应时间为4小时，平均漏洞奖金账期为17天，在TOP10中排名靠前，综合表现堪称标杆。

PayPal的信息安全工程师Ray Duran近日在博客中写道：“白帽黑客最好的漏洞提交方式很简单：有据可依，并证明其影响力。精心编写的报告有助于减少来回的对话，使我们能够快速进入补救步骤并更快地获得赏金。”

赏金支付方面，Github、Twitter和Verizon Media的支付账期最短，能在接到报告后两周内打款，其中Twitter打款周期最短，只需要8天，显著高于平均水平。Uber的打款周期最长，平均需要90天，是Twitter的十几倍。

参考资料：

HackOne 2020年十大漏洞赏金项目排行榜：

https://www.hackerone.com/resources/e-book/top-10-bounty-programs-2020

相关阅读

漏洞悬赏攀升至200万美元 谁在提供漏洞、谁在付钱？

漏洞市场赏金持续飙升 但只属于 1% 的挖漏洞精英

徐荣荣

安全牛编辑、安全行业见习新闻记者。安全牛新媒体运营、安全牛网站内容审核。