假如说:
- 第三方组件中的漏洞未明确排除在程序范围内。
- 该问题在特定目标中是可重现的。
我应该只将问题报告给第三方开发者,还是也报告给程序?如果该组件在 X 应用程序中被使用和利用,我应该为所有这些应用程序申请赏金吗?
编辑:似乎大型程序定期为第三方组件中的漏洞支付奖金。示例(可能是 NSFW)
Bug 赏金 - 我应该在第三方组件中报告 0days 吗?
信息安全
漏洞赏金
2021-08-13 22:48:03
1个回答
由于没有足够的知识来修改代码、无法访问它或其他类似的障碍,实现易受攻击代码的开发人员很可能会受到许可或无法修改它的限制。话虽如此,您应该将漏洞报告给第三方开发人员,然后他们应该采取措施缓解问题并将更改推送给使用代码的任何人。
建议您将问题报告给任何受影响的程序或应用程序,但这取决于您 - 毕竟,没有任何关于漏洞披露的规定,唯一的准则是您的道德推理。
直接回答您的问题,如果易受攻击代码的开发人员负责其维护(取决于软件许可证),他们很可能是唯一愿意或有资格向您支付赏金的一方。但是,建议向任何受影响的各方披露漏洞,他们也可能愿意根据漏洞的严重性和缓解漏洞的能力来奖励您。