【IT168 资讯】近期，腾讯安全应急响应中心（TSRC）通过官方网站宣布正式将其“通用软件漏洞奖励计划”升级为“互联网生态安全漏洞奖励计划”。新的奖励计划奖金总额提高到150万，安全研究团队或个人通过TSRC平台提交通用框架、组件、应用程序或者系统（如OpenSSL、Apache和Linux等，以下统称为“通用软件”）的严重漏洞并协助修复，即可获得现金奖励。
 
　　和原奖励计划不同的是，在奖励漏洞报告者的同时，腾讯安全应急响应中心（TSRC）还会通过定向捐赠现金、组织安全技术交流等方式，帮助通用软件开发组织提高软件安全性。

▲

　　腾讯安全应急响应中心（TSRC）负责人介绍说：“目前在全球范围内被广泛使用的通用软件，很多是由开源组织开发的，比如OpenSSL。开源组织通常是由分布在世界各地的程序员组成的松散联盟，缺乏安全方面的资源，因此在软件安全性方面往往心有余而力不足。这是一种普遍现象，我们很担忧这种状况对互联网生态安全产生的负面影响。所谓‘求木之长者，必固其根本’，我们希望通过提供资金和安全能力等方式，帮助这些全球性的开源组织从根本上提升软件安全性，共同维护互联网生态安全。”
 
　　新的奖励计划优先考虑的软件较之前有了大幅度增加，重点新增了大数据存储、云和虚拟化相关的软件。

▲

　　2015年2月，柴静的纪录片《穹顶之下》引爆了互联网，更引发了网民对生态环境污染和“雾霾”的关注和探讨。然而大多数网民并不知道，在互联网行业日益繁荣、不断颠覆传统行业的背后，我们所处的互联网生态环境也同样在遭受“漏洞雾霾”越来越猛烈的污染和侵害。也许有一天，整个互联网行业的根基都会被之撼动。
 
　　我们把目光转向过去的两年：2013年，一个名为Struts2的通用软件爆发了严重漏洞，国内数十家互联网厂商被“拖库”，用户敏感数据被大肆泄漏；2014年更是所有互联网人无法忘记的一年，“心脏滴血”、“破壳”等严重漏洞横扫世界，大量互联网公司黑客攻击，造成海量用户敏感数据泄漏。多轮漏洞洗礼之下，互联网用户已经毫无隐私可言。“漏洞雾霾”对互联网生态造成的伤害是破坏性的，试想一下，当你的身份信息、信用卡信息、发过的信息、住过的酒店甚至是你手机里面的私有照片，都可以被黑客随意获取，这样的互联网生态环境是何其可怕。
 
　　时间进入了2015年，站在互联网安全从业人员的角度来看，过去两年也许只是揭开了“漏洞雾霾“的序幕，形势也许比人们预想的还要糟糕。从1月开始，Linux“幽灵”漏洞、Samba全版本漏洞、Xen严重漏洞、苹果iOS 操作系统钓鱼劫持漏洞、安卓系统安装劫持漏洞等等接踵而来。3月，互联网安全的根基SSL/TLS加密算法出现了被命名为“freak”和“受戒礼”的两个严重漏洞，攻击者可以窃取网络中加密传输的数据并还原出明文 。黑客成功利用“freak“漏洞攻破了NSA网站的安全加密措施。
 
　　在“漏洞雾霾”之下，号称全球最安全的美国国家安全局NSA亦无力自保，普通互联网企业和用户更加只能任黑客鱼肉。坊间曾有传言，所有互联网用户可以分为两类：一类是知道自己已经被黑客黑了；另一类是已经被黑客黑了，自己还不知道。

▲

　　为了应对这种形势，早在2014年，腾讯安全应急响应中心（TSRC）就耗资百万重磅推出了“通用软件漏洞奖励计划”，通过现金奖励的方式面向互联网收集第三方通用软件漏洞，为保护互联网行业安全作出了应有的贡献。
 
　　此次发布新的漏洞奖励计划，腾讯安全应急响应中心（TSRC）负责人最后告诉我们：“新的奖励计划代号为‘The Security Hero Project’，代表了我们的一个期许，期待着保护互联网生态安全的英雄早日出现。可能是一个团结而低调的安全团队，也可能是一个在小黑屋里忍耐着寂寞的白帽子，我们一直在执著的等待你的出现。我们希望用更多一分的努力和付出，再次唤起更多的安全技术团队、学术机构和安全专家们对通用软件安全性研究的热情，将安全漏洞遏制和消灭在大面积爆发前。我们期待并欢迎更多的互联网企业加入我们的计划。维护互联网生态环境安全是一个长期和艰巨的过程，需要业内一起携手努力才能创造更美好的未来。”