0082] 机密性影响:
[0083] 问题:"对机密性的影响是什么";回答:"没有。" 对单个用户是如此。": 0. 275 对不止一个用户是如此。" 660
[0084] 完整性影响:
[0085] 问题:"应用或用户数据的完整性被折衷了么? ";回答:"否。" 0 对单个用户 是如此275 对不止一个用户是如此。" 660
[0086] 可用性影响:
[0087] 问题:"该漏洞对应用可用性具有任何影响么";回答:"否。" :0. 0 对单个用户是 如此。" 275 对不止一个用户是如此。" 660
[0088] 下面的是被嵌入漏洞的分类的下一级别中并且与具体指定价格相关联的漏洞的 示例描述:
[0089]
[0090] 产生的价格可以被提供给研究方,并且现有的支付网络或其它转账系统可以被用 于将等价于该价格的费用、或其它项目或虚拟货币转给研究方。在实施例中,定价被标准化 而不分客户;这在研究方团体之间设立预期值,所以他们通常知道他们是否找到了他们将 得到指定的金额的具体硬漏洞。
[0091] 再次参照图3,在实施例中,在块322处,如上面针对图1的块118所一般描述的, 过程向客户提供通知。在实施例中,启动点计算机206可以容宿持应用程序、web服务器、或 提供(服务提供商的客户可以登录到其中的)分开的门户的等价物。在实施例中,由管理 计算机207提供的客户门户可以使得客户能够经由管理员计算机240来获得和显示例如已 经被研究方计算机202识别、并根据被测网络208内的具体资产被组织的漏洞的视图。在 此情境中,资产可以包括计算机、网络基础设施的元件、应用、或其它节点或项目。在一个实 施例中,客户门户使得客户能够改变具体漏洞的状态以识别客户已经针对相关联的资产或 针对漏洞整体所采取的补救步骤。在实施例中,控制逻辑224可以被配置为将表示漏洞报 告和/或补救努力的数据输出到诸如(可从澳大利亚悉尼的Atlassian Pty有限责任公司 商购的)JIRA之类的缺陷追踪应用。
[0092] 在实施例中,控制逻辑224可以被配置为促进管理员计算机240和与识别具体漏 洞的研究方相关联的具体研究方计算机202之间的直接通信。在这样的实施例中,启动点 计算机206可以充当用于这样的通信的中间媒介,并且可以记录消息,或用作消息存储和 转发服务,管理员计算机240可以使用消息存储和转发服务构成消息并且请求配送到具体 研究方计算机202。以这种方式,启动点计算机206的具体客户的管理员计算机240可以重 新接入研究方计算机202,例如以请求重新验证来检查具体漏洞是否因为客户执行的补救 操作而被成功地修正或修补。在一些实施例中,考虑到这样的重新评价,管理计算机207或 另一系统可以将固定的费用转给研究方计算机202。
[0093] 在实施例中,在图3的块314处,过程准备反馈数据并且将反馈数据提供给数据库 240和/或自动风险扫描仪204。例如,控制逻辑224可以被配置为将具体漏洞转换为漏洞 的通用描述从而使得相同种类或类型的漏洞能够在相同类型的其它app中被发现。通用描 述可以根据通用协议被格式化或者可以根据与具体的一个或多个自动风险扫描仪204兼 容的操作、语法、语义或配置数据来表达。以这种方式,由任何研究方计算机202识别的具 体漏洞可以被用于更新自动漏洞扫描仪204,以使得随着时间过去对于研究方计算机来说 找到新的漏洞变得更困难。
[0094] 在块316处,如上面针对图1的块120所一般描述的,一个或多个主机评估操作 可以被执行。在一个实施例中,主机评估包括生成表示被测网络208中的具体资产的情形 或硬件配置和软件配置的一组或多组独特标识(fingerprint)数据。在实施例中,独特标 识数据可以代表补丁级别的资产的配置,并且独特标识数据可以被提供给自动漏洞扫描仪 204以许可对硬件、软件、和服务进行改进的扫描。任何形式的签名数据可以被使用,例如关 于应用语义的。
[0095] 4.用于提升计算机软件漏洞发现的安全评估激励程序
[0096] 实施例可以被用于实现激励程序以诱导或鼓励研究方计算机202来定位漏洞。在 一个实施例中,如上面针对图1和图3描述的,识别计算机漏洞的过程可以集成向研究方提 供、确定和支付费用作为发现漏洞的诱因。在一个实施例中,通过发布将被付出的费用的大 概范围,和关于具体漏洞的漏洞评分如何被映射到该范围内以产生具体费用的信息,这样 的方法的诱因利益可以被提升。以这种方式,本领域的研究方接收关于费用将被如何确定 和支付的客观上能理解的信息,这将会提高对整个方法和系统的信任。
[0097] 在另一实施例中,图1、图3的方法可以用游戏化的操作来补充。例如,在一个实施 例中,图1、图3的方法还包括,和/或控制逻辑224被配置为提供,向具体漏洞分配若干分 数,而不仅是某一费用。例如,代表如图4A所示的漏洞的元数据还可以包括最小分值和最 大分值,且图4B的过程还可以包括,通过将漏洞评分映射至由最小分值和最大分值限定的 分的范围之内,确定具体漏洞的具体分值。在各种实施例中,可以使用线性映射或非线性映 射、加权和/或比例映射来确定具体分值。在一个实施例中,映射可以使用混合映射函数, 该函数将漏洞评分值、代表漏洞报告或提交的质量的提交质量评分、被测网络208中的资 产的感知值、和/或其他值混合。
[0098] 进一步地,图1、图3、和/或控制逻辑224可以被配置为创建、存储和/或使得显 示排行榜,该排行榜标识研究方计算机202和研究方已赚得或获得的总分值或具体分值。
[0099] 图1、图3、和/或控制逻辑224可以被配置为确定被奖励给在具体奖励期间内(比 如,具体月份内)获得了最高分的研究方计算机202或研究方的一个或多个奖品。
[0100] 图1、图3、和/或控制逻辑224可以被配置为创建、存储和/或使得显示数据,这 些数据基于研究方所赚得或者被奖励给的总分代表具体研究方计算机202的完成程度。例 如,具体成绩可以与识别具体数目的漏洞、赚得具体数目的分数、或赚得具体总额的费用相 关联。每一成果可以与诸如徽章的图标相关联,或可以与奖品、费用、虚拟货币、对事件的许 可、或其他奖赏,或对研究方或研究方计算机202的认可相关联。
[0101] 图1、图3、和/或控制逻辑224可以被配置为促进将分数兑现为与研究方计算机 202的白帽角色一致的事物。例如,图1、图3、和/或控制逻辑224可以被配置为促进将在 任意前述的实施例中被奖励的分数兑换为旅行、礼物、餐券或其他物品。图1、图3、和控制 逻辑224可以被配置为使用到外部系统的接口并根据规定的转换比率执行使用这些方法 或系统赚得的分数到外部系统(包括积分系统)的转换,其中规定的转换比率将发现计算 机漏洞所赚得的分数变换为航线分数、宾馆分数、就餐分数、或第三方系统的其他种类的分 数
[0102] 5.实施方式示例一硬件概述
[0103] 根据一个实施例,这里所描述的技术由一个或多个专用计算设备来实现。专用计 算设备可以为硬连线的以执行这些技术,或可以包括被永久地编程为执行这些技术的数字 电子设备(比如,一个或多个专用集成电路(ASIC)或者现场可编程门阵列(FPGA)),或者可 以包括被编程为依照固件、存储器、其他存储设备、或其组合中的程序指令来执行这些技术 的一个或多个通用处理器。这样的专用计算设备还可以将定制的硬连线逻辑、ASIC、或FPGA 与定制编程相组合来完成这些技术。专用计算设备可以为台式计算机系统、便携式计算系 统、手持设备、联网设备、或包含用于实现这些技术的硬连线和/或程序逻辑的任何其他设 备。
[0104] 例如,图5为示出了计算机系统500的框图,本发明的实施例可以在计算机系统 500上被实现。计算机系统500包括用于传送信息的总线502或其他通信机制,和与总线 502相耦合的、用于处理信息的硬件处理器504。例如,硬件处理器504可以为通用微处理 器。
[0105] 计算机系统500还包括耦合至总线502的、用于存储信息和将由处理器504执行 的指令的主存储器506,比如,随机访问存储器(RAM)或其他动态存储器设备。主存储器506 还可以被用于存储在将由处理器504执行的指令的执行期间的临时变量或其他中间信息。 这些指令,当存储于可被处理器504访问的非易失性存储介质中时,使得计算机系统500成 为专用机,该专用机被定制为执行在这些指令中所指定的操作。
[0106] 计算机系统500还包括耦合至总线502的、用于存储静态信息和用于处理器504 的指令的只读存储器(ROM) 508或其他静态存储器设备。存储器设备510 (比如,磁盘或光 盘)被提供给并耦合至总线502以用于存储信息和指令。
[0107] 计算机系统500可以通过总线502被耦合至诸如阴极射线管(CRT)之类的显示器 512,以向计算机用户显示信息。包括字母数字和其他键的输入设备514被耦合至总线502, 以向处理器504传送信息和命令选择。另一类型的用户输入设备为用于向处理器504传送 光标方向信息和命令选择并用于控制光标在显示器512上的移动的光标控制516,比如,鼠 标、轨迹球、或光标方向键。这一输入设备通常具有允许设备在平面中指定位置的在两个轴 (第一轴(例如,X)和第二轴(例如,y))上的两个自由度。
[0108] 计算机系统500可以使用定制的硬连线逻辑、一个或多个ASIC或FPGA、固件和/ 或程序逻辑来实现这里描述的技术,其中定制的硬连线逻辑、一个或多个ASIC或FPGA、固 件和/或程序逻辑与计算机系统相结合使得计算机系统500成为或将计算机系统500编程 为专用机。根据一个实施例,响应于处理器504执行包含于主存储器506中的一条或多条 指令的一个或多个序列,这里的技术被计算机系统500执行。这样的指令可以从诸如存储 器设备510之类的另一存储介质读入主存储器506。包含于主存储器506中的指令序列的 执行使得处理器504执行这里描述的过程步骤。在可替代的实