聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

刚刚，苹果公司发布“苹果安全漏洞奖励计划”，并表示如果研究人员决定捐赠奖励金，则公司会追加同等奖励金并捐赠给符合条件的慈善机构。

参与资格

要参加苹果安全漏洞奖励计划，所提交问题必须存在于最新公开的标准配置的iOS、iPadOS、macOS、tvOS 或 watchOS中，以及相关的最新公开发布的硬件中。这些资格规则旨在发布更新前包含客户的安全，确保苹果公司能够快速验证漏洞报告并创建必要更新，以及适当奖励开展原创性研究活动的研究人员。

研究员必须满足如下条件才可获得奖励：

• 必须是第一个向Apple Product Security 报告问题的人

• 提供的漏洞报告须清晰并包含可运作的exploit。

• 在苹果发布针对漏洞报告的安全公告前不能公开披露漏洞（通常而言安全公告和相关解决更新方案同步发布）。

如果研究人员发现的问题是苹果之前不知道的且是指定的开发者测试版和公开版（包括回归问题）中所特有的问题，则可获得50%的额外奖励金。符合该条件的问题包括：

• 某些指定的开发者测试或公开测试版本中引入的安全问题。并非所有的开发者或公开测试版均可获得这种额外奖励。

• 之前所解决问题的回归，包括已发布的安全公告中已解决的问题被重新引入开发者测试版或公开测试版中的情况。

奖励类别

漏洞奖励金根据所报告问题可实现的访问级别或执行情况以及报告质量确定。每个类别都设置了最高奖励金。确切的奖励金数额将由苹果公司审议后确定。所有对用户产生重大影响的安全问题，即使并不满足已公开的漏洞奖励类别，仍然可获得奖励金。该奖励计划的奖励金数额的确定由苹果公司决定。最高奖励金为100万美元，最低为5000美元。

另外，苹果公司还给出了奖励示例，如下：

漏洞报告和奖励指南

苹果公司指出，“苹果安全漏洞奖励计划”旨在通过了解漏洞及其利用技术来保护客户的安全。包含基本的PoC 而不是可运行的exploit 的漏洞报告获得的奖励金不能超过最高奖励金的50%。缺少必要信息使苹果公司无法复现问题的漏洞报告如被接受，则所赢得的奖励金将大大减少。

一份完整的漏洞报告应包括：

• 对所报告问题的详细说明

• 使系统处于受影响状态的任何前提条件和步骤

• 所报告问题的可靠exploit

• 使苹果公司能复现问题的足够信息

如何获得更多奖励金

要最大化奖励金，记住，苹果公司对如下问题更感兴趣：

• 影响多个平台

• 影响最新公开发布的硬件和软件

• 是指定的开发者测试版或公开版（包括回归问题）中新增功能或代码中独有的漏洞问题

• 影响多个敏感组件

• 新颖的漏洞

其它要求

除了提供完整报告外，如果要求执行多个exploit 以及一次或零次点击的漏洞问题要求提供完整的利用链，这样才能获得最大化的奖励金。利用链和报告必须包括：

• 编译版和源版

• 执行该利用链的一切

• 在必要的情况下提供不具破坏性的payload样本

漏洞报告发送

漏洞报告发送至 product-security@apple.com。在可能的情况下，通过 Apple Product Security PGPKey 加密所有的通信内容。邮件中需包含所有相关的视频、崩溃日志和系统诊断报告。在必要的情况下使用Mail Drop 发送大型文件。

推荐阅读

苹果推出 macOS 漏洞奖励计划，最高赏金100万美元

原文链接

https://developer.apple.com/security-bounty/payouts/?from=timeline

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 多多~