最初這一舉措是效仿微軟、谷歌這些商業(yè)公司的漏洞獎勵計劃，目的在于通過實地進攻的方式找到國防部系統(tǒng)存在的漏洞，當(dāng)時的國防部長Ash Cater認(rèn)為，這是一個“絕佳的學(xué)習(xí)機會”，并表示“我們不能只是繼續(xù)我們的老路。世界變化太快了，我們的對手變化也太快了。”
漏洞獎勵計劃初見成效
當(dāng)時的項目邀請了HackerOne與Synack兩個知名黑客組織作為托管漏洞獎勵供應(yīng)商，這一項目的出現(xiàn)成為了美國首個面向外界黑客求幫助的平臺。計劃執(zhí)行了兩年多，美國國防部似乎嘗到了甜頭，決定在原有的計劃上做一些“拓展”。
最近，美國國防部宣布，將擴大原有的漏洞獎勵計劃，不僅要將賞金計劃持續(xù)下去，還將繼續(xù)深入這種眾包安全工作。一紙為期三年，3400萬美元的新合約就此出爐，并且將原有的兩個合作方擴展到了三個：新增了Bugcrowd。
該合約是一份“不限時間、不限數(shù)量”的合約，針對政府各部門的各類系統(tǒng)、軟硬件、應(yīng)用進行詳細的測試。
在漏洞獎勵計劃執(zhí)行的兩年多以來，作為“賞金獵人”的黑客們，先后發(fā)現(xiàn)了超過5000個各類漏洞，并且發(fā)起了6次漏洞挑戰(zhàn)計劃：“黑進五角大樓”、“黑掉海軍陸戰(zhàn)隊”、“黑掉陸軍”、“黑掉空軍”等等。在挖洞這種事情上，黑客們可謂是竭盡全力，當(dāng)然，政府這邊也不吝嗇，累計已送出了超過300000美元的獎勵。
原本兩個水火不相容的勢力，能夠通力合作，也算是一個皆大歡喜的結(jié)局。（關(guān)于打造漏洞獎勵計劃，請見：傳送門2）
以己之矛，攻彼之盾
在如今的網(wǎng)絡(luò)世界中，網(wǎng)絡(luò)安全問題大眾化已非常重要，因為世界上每一個系統(tǒng)都有受到攻擊的可能，并且在安全方面，我們技術(shù)、人才的缺口都非常大。
Bugcrowd的首席執(zhí)行官Ashish Gupta認(rèn)為：雖然我們無法控制我們的對手，但是我們可以控制我們自己。網(wǎng)絡(luò)安全的缺口非常大，在這個背景下，合理的利用黑客資源，實行眾包安全的業(yè)務(wù)并無不妥。這一舉措也給黑客群體提供了大量的工作機會。因此，當(dāng)前最需要關(guān)注的，是在沒有被攻擊之前，發(fā)現(xiàn)漏洞在哪里以及怎么解決它。并且，使用黑客的技術(shù)來防黑客，遠比我們自身毫無目的測試要有效的多。
在新合約發(fā)布的同時，政府還表示在第一年內(nèi)至少會有8次限時獎勵計劃和5次持續(xù)挑戰(zhàn)計劃，每個項目持續(xù)三個月到一年不等，時間也有可能出現(xiàn)重合。目前，獎勵金額尚未公布。
同時，國防部表示，現(xiàn)在美國軍方所使用的各種系統(tǒng)，包括武器、服務(wù)等，比以往任何時候都更依賴于計算機和互聯(lián)網(wǎng)，因此會成為眾多網(wǎng)絡(luò)攻擊的目標(biāo)也不足為奇，網(wǎng)絡(luò)安全的重要性對他們不言而喻。國防部已經(jīng)將防護的重點擴展到了互聯(lián)網(wǎng)之外的物理系統(tǒng)、軟硬件等方面。盡管在過去的幾年中，五角大樓曝出了不少負(fù)面新聞，但政府也已通過該計劃做出了相當(dāng)大的改善，并且會在將來持續(xù)增加測試的范圍和深度。
總有人認(rèn)為，黑客生來邪惡，存在即是為了犯罪，然而，漏洞獎勵計劃成功的為廣大黑客群體打造了一副“俠盜羅賓漢”的形象，如果連國家政府、機要部門都能夠拋開成見，成為眾測計劃的施行者，那么對于廣大企業(yè)、組織或個人而言自然也可以。
政府機構(gòu)所代表的往往是這個世界上最為安全、縝密的防御系統(tǒng)，但依然被挖出了數(shù)千個漏洞，其他領(lǐng)域，可謂是細思極恐。
該來的總會來，沒有絕對安全的系統(tǒng)，但是目前來說，漏洞獎勵計劃已然是互聯(lián)網(wǎng)發(fā)展邁出的一大步。