国外src（漏洞挖掘平台）

0x01 前言

外国挖洞挣的都是dollar，比较适合技术好，愿意花时间的去挖掘漏洞，挣得也多。事情也少。

0x02 src网站

0x21 赏金平台

1. HackerOne

网址：https://www.hackerone.com/

作为背后站着众多著名风险资本家的独角兽公司，HackerOne可能是全世界知名度最高、最受认同的漏洞赏金品牌了。

其最近的年报显示，超过1700家公司信任HackerOne平台，放心依托HackerOne增强自身内部应用安全测试能力。报告还宣称，HackerOne的安全研究人员仅2019年一年就挣到了约4000万美元赏金，累积赏金数额更是高达8200万美元。

HackerOne的名声还来自于托管美国政府漏洞赏金计划，包括美国国防部和美国陆军的漏洞披露计划。与其他一些漏洞赏金计划和漏洞披露计划（VDP）类似，HackerOne如今还提供依托全球资深安全研究人员的渗透测试服务。HackerOne的安全认证十分完备，包括ISO 27001和FedRAMP授权。

2. BugCrowd

网址：https://www.bugcrowd.com/

网络安全专家Casey Ellis创立的BugCrowd可能是最具创新性的漏洞赏金平台了。BugCrowd不仅积极推动传统众包安全测试服务，还倡导攻击界面管理和针对物联网、API甚至网络的一系列渗透测试服务，在快速成长的众包安全市场上领先其他竞争对手。

BugCrowd还适度推广各种软件开发生命周期（SDLC）集成功能，方便客户高效整合和推动DevSecOps工作流。

Amazon、VISA、eBay等行业巨头，以及备受尊崇的(ISC)² 网络安全教育协会都将漏洞赏金计划交托给BugCrowd。很多安全研究新手也因BugCrowd大学、持续不断的安全网络研讨会和培训而熟知BugCrowd。这个创新平台将其客户的研究人员有机结合了起来。

3. OpenBugBounty

网址：https://www.openbugbounty.org/

在我们的名单上，飞速发展的OpenBugBounty项目是仅有的一个非营利性漏洞披露和漏洞赏金平台。Alexa排名显示，OpenBugBounty即将成功超越其绝大多数商业竞争对手。

依托1200多个活跃漏洞赏金计划，如果漏洞经由非侵入式方法检测，OpenBugBounty还允许在任意网站上协同披露这些漏洞。在OpenBugBounty上创建漏洞赏金计划是完全免费的，无需支付研究人员酬金，但鼓励至少感谢研究人员的付出，并公开推荐他们。

OpenBugBounty为奥地利电信A1和Drupal等公司托管漏洞赏金计划，有2万多名安全研究人员投身其中，截至目前提交了近80万个安全漏洞。该平台表示，其策略和披露流程遵循ISO 29147标准。

OpenBugBounty还与各国CERT（计算机应急响应小组）和执法机构合作，为他们提供免费API接入平台，同时在研究人员公开披露其漏洞发现之前保密漏洞详情。

4. SynAck

网址：https://www.synack.com/

背靠英特尔投资部和凯鹏华盈（Kleiner Perkins）等多家知名风险投资基金，2015年到2019年，SynAck四度蝉联CNBC（美国消费者新闻与商业频道）“颠覆者”称号。SynAck处于商业漏洞赏金平台顶部，也入选了Gartner企业软件初创公司Top 25。

SynAck由安全远见者、前美国国家安全机构雇员Jay Kaplan和Mark Kuhr联合创立，提供经全面审核的网络安全研究人员组成的精英团队“红队”（SRT）。SynAck表示，SRT小组的安全专家背景清晰，行业经验丰富。

由于对红队成员进行详尽全面的尽职审查，并记录其全部活动供未来分析或审核，SynAck成功跻身可信众包安全测试服务领头羊之列。而且，SynAck还与行业领导者建立了合作伙伴关系和技术联盟，包括微软、AWS和HPE，表现出了强劲的成长潜力。

5. YesWeHack

网址：https://www.yeswehack.com/

YesWeHack是2021年的新星。作为欧洲漏洞赏金和漏洞披露公司之一，YesWeHack成功吸引了注重严格隐私与保护数据防护的欧盟公司企业。最近，YesWeHack宣布2020年在亚洲录得破纪录的250%增长率，证明了欧洲初创公司全球扩张的能力。

与BugCrowd类似，YesWeHack也做好了投资人才的准备。去年，YesWeHack启动培训项目，帮助漏洞赏金猎人借助YesWeHack DOJO平台磨练黑客技术。该项目提供入门级课程和专注特定安全漏洞的培训关卡，以及施展身手的训练环境。

全世界的安全研究人员都可以借助DOJO平台磨砺其软件安全测试技术。最后，YesWeHack还展现了吸引法国OVH集团等著名欧洲客户的能力。

除了上述五大漏洞赏金平台，市场上还有其他很多独特而杰出的平台，比如身为欧洲主流道德黑客网络之一的Intigriti。

漏洞赏金计划已开始从纯众包安全测试向综合网络安全平台转型，提供经典渗透测试和大量其他服务。我们目前很难预测漏洞赏金平台相对于传统托管安全服务提供商（MSSP）和网络安全供应商到底有多成功，但是，漏洞赏金无疑开创了极具潜力的新型市场定位。

正如几十年前开源Linux撼动微软商业闭源操作系统，随后诞生数十亿美元Red Hat业务，开放自由的OpenBugBounty项目正促进漏洞赏金计划不断成熟。

这标志着漏洞赏金市场在逐步壮大，变得更具竞争力，越来越多的新玩家不断投身其中。我们可以预计，未来将有更多风险资本加入，会出现更多并购交易，推动众包安全市场继续扩张。

0x22 公司src

https://chaos.projectdiscovery.io/#/https://app.intigriti.comhttps://pizzahut.responsibledisclosure.com/hc/en-us/articles/360037746074-Acknowledgments%3E 必胜客
https://kfc.responsibledisclosure.com/hc/en-us/requests/new kfchttps://www.nike.com/help/disclosure 耐克https://www.coca-colacompany.com/policies-and-practices/vulnerability-disclosure 可口可乐https://support.apple.com/zh-cn/HT201220 苹果https://www.philips.com.cn/a-w/security/responsible-disclosure-statement.html 飞利浦https://src.tcl.com/zh/login 特斯拉https://cloudnative.to/envoy/intro/arch_overview/security/google_vrp.html 谷歌src