年度回顾：2023 年 Bug 报告奖励计划对 Zoom 安全性意味着什么

安全是 Zoom 始终关注的重点，也是我们通过各种计划和方案持续进行的一项投资。Zoom Bug 报告奖励计划就是旨在加强在线安全的此类方案之一，也是在整个 Zoom 社区中进行协作、创新和持续改进的杰出示例。自 2019 年以来，我们一直积极与研究人员社区合作，我们非常高兴地宣布，为了帮助 Zoom 加强防御并保护用户的隐私和安全，我们现已发放了超过 1 千万美元的漏洞赏金。 

Zoom 的 Bug 报告奖励计划旨在鼓励发现安全漏洞并以负责任的态度披露安全漏洞。在过去两年里，我们实施了简化的流程，确保可对所有安全报告做出迅速回应和响应。我们有 800 多名研究人员，一旦其中有人检测到并提交了漏洞，我们的安全团队将对报告进行分析、再现，然后提交给相应的内部开发团队进行修复，平均只需几小时。 

在过去 3 年多的时间里，Zoom 一直在降低每份程序运行报告的成本，同时提高漏洞识别率，这对我们的平台产生了切实的影响。在短短三年内，我们将每份有效报告的成本降低了 40%，并已看到提交的报告量增加了一倍多。

VISS

2023 年 1 月，Bug 报告奖励团队决心构建、完善和发布一种全新的创新型机制，用以衡量利用漏洞对系统所造成的实际影响。三月份实施的漏洞影响评分系统（简称 VISS）就是我们在 Github 上 以开源方式进行合作的成果。 

Zoom 使用 VISS 已经有一年多的时间，并且已经越来越受到其他 Bug 报告奖励团队的关注，他们希望以更客观的方式衡量漏洞所造成的影响。迄今为止，有关 VISS 的协作作和反馈是积极正面的。安全研究人员也在提供反馈意见，这将加强 VISS 的协作和关注度，并提高 Zoom 的 Bug 报告奖励管理方法的透明度。

Zoom 首席信息安全官 (CISO) Michael Adams 解释道：“VISS 使我们能够调整安全研究人员的工作，这样我们就能将注意力放在最重要、影响力最大的问题上，然后相应地调整我们的奖金。"Adams 还说道：“我不仅要支付相应的报酬，还要给予相应的激励，如果我无法在评分系统中提供清晰的解释，他们就很难理解。我们现在能够在一定程度上提供清晰的解释。”

要深入了解详情，并试用由 Zoom 实现的 VISS 计算器，请查看完整的 VISS 规范。

HackerOne

另外，我们很高兴成为今年 HackerOne H1-4420 活动的赞助商，该活动于 2023 年 6 月 22 日在伦敦的CodeNode 举行。这次活动极有价值，使我们有机会与来自 41 个国家/地区的 90 多名最具才华的道德黑客协作，所有人共同努力帮助 Zoom 平台提高安全性。通过与该社区积极交流，我们不仅可以降低风险，还可以培养创新能力并不断改进我们的服务。点击此处，查看活动回顾。

Bug 报告奖金

2023 年对我们而言是重要的一年，我们为 200 多名安全研究人员提交的 1000 多份独立且有效的报告支付了 240 多万美元的 Bug 报告奖金。这样一来，Bug 报告奖金的累计总额已超过 1,000 万美元。

随着人工智能和机器学习越来越紧密地集成到 Zoom 产品中，Zoom Bug 报告奖励团队一直忙于同我们的许多顶级研究人员合作找出漏洞。生成式人工智能的兴起带来了新的安全和隐私风险，包括误报、数据中毒和数据渗漏。借助我们 VIP 计划中的 Campaigns 功能，HackerOne 平台可为 Zoom 实现所有所需的后端处理功能，从而能够与研究人员进行有意义的双向合作。 

在 Zoom 2024 年路线图中，我们除了关注人工智能，还计划在今年发布一系列强大的功能。为此，我们期待从 2024 年 4 月 1 日开始，贯穿整个四月的“春假”推广活动能够带来一波新的报告提交热潮。我们在测试范围中增加了几项新功能，并提高了此次推广活动的赏金。

如果您有兴趣帮助 Zoom 提升安全性，请将您的 HackerOne 个人信息名称通过电子邮件发送至 bugbounty@zoom.us，或者访问 Zoom 招贤纳士页面查看“信任与安全”团队的空缺职位。尽情享受黑客之乐吧！

要详细了解 Zoom 隐私和安全的信息，请访问我们的信任中心。发现 Bug 了吗？请在此提交漏洞问题。