新加坡政府周二宣布启动抓虫计划,请外界帮政府网站找漏洞。
这项漏洞披露方案(Vulnerability Disclosure Programme)是由新加坡政府科技局(Government Technology Agency,GovTech)推出,由漏洞挖掘平台HackerOne托管,旨在鼓励研究人员找出并通报存在于星国政府IT服务、系统、资源及流程中,可能影响政府网站app安全性的可疑漏洞或瑕疵。本方案涵盖的对象,包括星国政府机关及法定机关的公开网站及手机应用、以及仅限公务员访问的政府网站等。
研究人员可在项目网站上通报找到的漏洞,提供漏洞描述、受影响的政府网站URL或IP、以及受影响软件的版本和设置等。通报人还需提供找到漏洞的时间日期,以及自己的姓名及联系方式,以便政府确认事宜。
新加坡政府并提醒研究人员只能通报政府漏洞,不可对外公布、或从事黑入或攻击网站、访问、删改、下载数据及系统设置,或是植入后门程序等非法行为。最后,这项计划显然希望研究人员做公益,并未提供任何奖金报酬。