2016年3月，美国国防部宣布了一则消息：邀请数千名经过审核的黑客参与五角大楼漏洞奖励计划，名为“Hack the Pentagon”。

（对此FreeBuf也做过相关介绍，详情请见：传送门）

最初这一举措是效仿微软、谷歌这些商业公司的漏洞奖励计划，目的在于通过实地进攻的方式找到国防部系统存在的漏洞，当时的国防部长Ash Cater认为，这是一个“绝佳的学习机会”，并表示“我们不能只是继续我们的老路。世界变化太快了，我们的对手变化也太快了。”

漏洞奖励计划初见成效

当时的项目邀请了HackerOne与Synack两个知名黑客组织作为托管漏洞奖励供应商，这一项目的出现成为了美国首个面向外界黑客求帮助的平台。计划执行了两年多，美国国防部似乎尝到了甜头，决定在原有的计划上做一些“拓展”。

最近，美国国防部宣布，将扩大原有的漏洞奖励计划，不仅要将赏金计划持续下去，还将继续深入这种众包安全工作。一纸为期三年，3400万美元的新合约就此出炉，并且将原有的两个合作方扩展到了三个：新增了Bugcrowd。

该合约是一份“不限时间、不限数量”的合约，针对政府各部门的各类系统、软硬件、应用进行详细的测试。

在漏洞奖励计划执行的两年多以来，作为“赏金猎人”的黑客们，先后发现了超过5000个各类漏洞，并且发起了6次漏洞挑战计划：“黑进五角大楼”、“黑掉海军陆战队”、“黑掉陆军”、“黑掉空军”等等。在挖洞这种事情上，黑客们可谓是竭尽全力，当然，政府这边也不吝啬，累计已送出了超过300000美元的奖励。

原本两个水火不相容的势力，能够通力合作，也算是一个皆大欢喜的结局。（关于打造漏洞奖励计划，请见：传送门2）

以己之矛，攻彼之盾

在如今的网络世界中，网络安全问题大众化已非常重要，因为世界上每一个系统都有受到攻击的可能，并且在安全方面，我们技术、人才的缺口都非常大。

Bugcrowd的首席执行官Ashish Gupta认为：虽然我们无法控制我们的对手，但是我们可以控制我们自己。网络安全的缺口非常大，在这个背景下，合理的利用黑客资源，实行众包安全的业务并无不妥。这一举措也给黑客群体提供了大量的工作机会。因此，当前最需要关注的，是在没有被攻击之前，发现漏洞在哪里以及怎么解决它。并且，使用黑客的技术来防黑客，远比我们自身毫无目的测试要有效的多。

在新合约发布的同时，政府还表示在第一年内至少会有8次限时奖励计划和5次持续挑战计划，每个项目持续三个月到一年不等，时间也有可能出现重合。目前，奖励金额尚未公布。

同时，国防部表示，现在美国军方所使用的各种系统，包括武器、服务等，比以往任何时候都更依赖于计算机和互联网，因此会成为众多网络攻击的目标也不足为奇，网络安全的重要性对他们不言而喻。国防部已经将防护的重点扩展到了互联网之外的物理系统、软硬件等方面。尽管在过去的几年中，五角大楼曝出了不少负面新闻，但政府也已通过该计划做出了相当大的改善，并且会在将来持续增加测试的范围和深度。

总有人认为，黑客生来邪恶，存在即是为了犯罪，然而，漏洞奖励计划成功的为广大黑客群体打造了一副“侠盗罗宾汉”的形象，如果连国家政府、机要部门都能够抛开成见，成为众测计划的施行者，那么对于广大企业、组织或个人而言自然也可以。

政府机构所代表的往往是这个世界上最为安全、缜密的防御系统，但依然被挖出了数千个漏洞，其他领域，可谓是细思极恐。

该来的总会来，没有绝对安全的系统，但是目前来说，漏洞奖励计划已然是互联网发展迈出的一大步。

*来源：threatpost，本文作者：Karunesh91，转载请注明来自FreeBuf.COM