保护 Zoom 和 Zoom 的客户：回顾 Bug 报告奖励计划在 2022 年取得的成就

虽然 Zoom 每天都在测试基础设施，但我们清楚，边缘案例漏洞是避免不了的。 因此，我们请来了后援团队——白帽黑客社区。他们有时能够发现仅在特定情况下才能察觉到的漏洞。 

因此，Bug 报告奖励计划致力于招募技术娴熟的高效研究人员。 2022 年，我们向更多研究人员发出了邀请，希望他们加入 HackerOne 计划。该计划的重点在于吸引思想活跃的安全领域人才。 我们也乐于在计划之外发现人才，因此，我们还通过 H1-702 等行业活动深入了解该社区。

这些研究人员努力为我们提供帮助，我们也尽力对他们提交的富有成效的报告予以奖励。 在 2023 财年，我们向数百名研究人员发放了 390 万美元的赏金。自该计划实施以来，迄今已发放了超过 700 万美元的赏金。 

除了发现漏洞，外部研究人员提供的支持还帮助 Zoom 取得了其他形式的进展。 我们运用这些报告说明需要注意的项目，标记问题的根本原因，提高跨职能协调能力，并在出现问题之前及时发现潜在威胁。 因此，两年来，我们解决 Bug 奖励报告的效率得到了显著改善。

今年年初，我们重组了团队，并制定了 2024 财年的计划更新。 我们评估了目前参与项目的研究人员，确保每个人都积极参与并做出贡献。 在新的一年里，我们希望向正确的方向迈进。因此首先要与一流且高效的研究人员合作。

为了帮助研究人员发挥最大潜力，Zoom 的 Bug 报告奖励计划还实施了全新的漏洞影响力评分系统。 虽然我们仍将继续使用行业标准通用漏洞评分系统（CVSS）对报告进行评分，我们将完善计划，增加名为漏洞影响力评分系统（VISS）的配套评分系统，用以分析每个上报的漏洞在 Zoom 基础设施、技术和客户数据安全等 13 个方面造成的影响力。 随着 VISS 的实施，Bug 报告奖励计划可以更多地将重点放在负责任地评估已证明的影响力，而不是理论上存在的漏洞利用可能性。

过去一年来，随着 Zoom Bug 报告奖励计划的发展，我们将继续改善和完善流程、赏金奖励和测试范围。 我们很高兴看到全新评分系统带来的效果，以及研究人员在 2023 年可实施的积极举措。 

如果您有兴趣帮助 Zoom 提升安全性，请通过电子邮件将您的 HackerOne 个人信息名称发送至 bugbounty@zoom.us，或者访问 Zoom 招贤纳士页面查看“信任与安全”团队的空缺职位。 尽享黑客之乐！

要了解更多关于 Zoom 隐私和安全的信息，请浏览我们的 Trust Center。