尽管Gartner沒有专业为漏洞赏金或众包安全测试制作魔力象限,但Gartner Peer Insights列出了24家“运用众包测试服务”类经销商。
假如想提高企业目前自动化测试军械库,列入全世界安全性科研员工的专业知识和专业能力,那您不如看一下以下5个具有市场前景的漏洞赏金服务平台。
1. HackerOne
网站地址:https://www.hackerone.com/
做为身后站着诸多知名风险性资本家的独角兽公司,HackerOne可能是全球名气最大、最受认可的漏洞赏金知名品牌了。
其近期的年度报告表明,超出1700家企业信赖HackerOne平台,安心借助HackerOne提高本身内部结构运用安全测试工作能力。汇报还声称,HackerOne的安全性科研工作人员仅2019年一年就赚到了约4000万美金赏金,积累赏金金额也是达到8200万美金。
HackerOne的知名度还来自于代管美政府漏洞赏金方案,包含美国防部和德国国防军的漏洞公布方案。与其它一些漏洞赏金方案和漏洞公布方案(VDP)相近,HackerOne现如今还给予借助全世界杰出安全性科研员工的网站渗透测试服务项目。HackerOne的安全验证十分完备,包含ISO 27001和FedRAMP受权。
2. BugCrowd
网站地址:https://www.bugcrowd.com/
网络信息安全权威专家Casey Ellis开创的BugCrowd可能是极具创新能力的漏洞赏金服务平台了。BugCrowd不但积极推进传统式众包安全测试服务项目,还提倡进攻页面管理方法和对于物联网技术、API乃至互联网的一系列网站渗透测试服务项目,在快速增长的众包安全市场上领跑其它竞争者。BugCrowd还适当营销推广各种各样开发软件生命期(SDLC)集成化作用,便捷顾客高效率融合和促进DevSecOps工作流引擎。
Amazon、VISA、eBay等领域大佬,及其深受崇敬的(ISC)² 网络安全教育研究会都将漏洞赏金方案信靠给BugCrowd。许多安全性科学研究初学者也因BugCrowd大学、不断不停的可靠互联网讨论会和学习培训而熟识BugCrowd。这一自主创新服务平台将其用户的分析工作人员有机结合了起來。
3. OpenBugBounty
网站地址:https://www.openbugbounty.org/
在人们的名册上,迅猛发展的OpenBugBounty新项目是仅有的一个非盈利性漏洞公布和漏洞赏金服务平台。Alexa排名表明,OpenBugBounty将要取得成功超过其绝大部分商业服务竞争者。
借助1200好几个活跃性漏洞赏金方案,假如漏洞经过非入侵式方式检验,OpenBugBounty还容许在随意网址上协作公布这种漏洞。在OpenBugBounty上建立漏洞赏金方案是永久免费的,不用付款科学研究工作人员酬金,但激励最少感激科学研究员工的投入,并公布强烈推荐她们。
OpenBugBounty为德国电信网A1和Drupal等企业代管漏洞赏金方案,有2三万名安全性科研工作人员投身于在其中,目前为止递交了近80万只安全性漏洞。该网站表明,其对策和公布步骤遵循ISO 29147规范。
OpenBugBounty还与世界各国CERT(电子计算机应急处置工作组)和稽查单位协作,为这些人供应完全免费API连接服务平台,与此同时在科学研究工作人员公布透露其漏洞发觉以前信息保密漏洞详细信息。
4. SynAck
网站地址:https://www.synack.com/
靠着intel投资部和凯鹏华盈(Kleiner Perkins)等好几家著名风险投资机构,2015年到2019年,SynAck四度卫冕CNBC(英国顾客新闻报道与商业服务频道栏目)“颠覆者”头衔。SynAck处在商业服务漏洞赏金服务平台顶端,也当选了Gartner企业管理软件新成立公司Top 25。
SynAck由安全性远见卓识者、前英国国防安全组织员工Jay Kaplan和Mark Kuhr协同开创,给予经全方位审批的网络信息安全科研工作人员构成的卓越团队“蓝队”(SRT)。SynAck表示,SRT工作组的安全性权威专家环境清楚,领域阅历丰富。
因为对蓝队组员开展详细全方位的敬业核查,并纪录其所有主题活动供将来剖析或审批,SynAck取得成功位居可靠众包安全测试服务项目引领者之列。并且,SynAck还与领域管理者创建了战略伙伴关系和技术联盟,包含微软公司、AWS和HPE,主要表现出了强悍的生长发展潜力。
5. YesWeHack
网站地址:https://www.yeswehack.com/YesWeHack是2021年的新秀。做为欧洲地区漏洞赏金和漏洞公布企业之一,YesWeHack取得成功吸引住了重视严苛个人隐私与维护数据信息安全防护的欧盟国家公司企业。近期,YesWeHack公布2020年在亚洲地区取得打破记录的250%年增长率,证实了欧洲地区新成立公司全世界扩大的工作能力。
与BugCrowd相近,YesWeHack也搞好了项目投资优秀人才的提前准备。上年,YesWeHack运行项目培训,协助漏洞赏金猎人兽依靠YesWeHack DOJO服务平台磨炼网站渗透。该新项目给予新手入门课程内容和潜心特殊安全性漏洞的学习培训副本,及其使出武艺的练习自然环境。
全球的安全性科研工作人员都能够依靠DOJO服务平台磨炼其手机软件安全测试技术性。最终,YesWeHack还呈现了吸引住法国的OVH集团公司等知名欧洲地区顾客的工作能力。
除开以上五大漏洞赏金服务平台,销售市场上也有其它许多与众不同而突出的服务平台,例如作为欧洲地区流行社会道德黑客网络之一的Intigriti。
漏洞赏金方案已逐渐从纯众包安全测试向综合性网络信息安全服务平台转型发展,给予經典网站渗透测试和很多别的服务项目。大家现阶段难以预测分析漏洞赏金服务平台相比于传统式代管安全性服务提供商(MSSP)和网络信息安全经销商究竟有多取得成功,可是,漏洞赏金毫无疑问开辟了具有潜质的新式产品定位。
正如几十年前开源系统Linux超越微软公司商业服务闭源电脑操作系统,接着问世数十亿美元Red Hat业务流程,对外开放随意的OpenBugBounty新项目正推动漏洞赏金方案持续完善。
这意味着漏洞赏金销售市场在逐渐发展壮大,越来越更具有竞争能力,愈来愈多的新游戏玩家持续投身于在其中。我们可以预估,将来将有大量风险资本添加,会发生大量企业并购买卖,促进众包安全市场再次扩大。