保護 Zoom 和我們的客戶：Zoom 錯誤賞金計畫在 2022 年的成果概覽

說到安全，一切取決於誰先發制人。 我們競相趕在不法之徒之前發現錯誤和問題，因此我們借助道德駭客社群的協助成功搶先一步。

我們透過 Zoom 錯誤賞金計畫獲得上述協助，此計畫使我們能夠聯繫並聘請專家研究人員，協助主動降低風險，並為客戶創造更安全的環境。 過去一年，我們作為一個社群獲得多項成就， 請見以下介紹： 

Zoom 每天進行基礎設施測試，但我們知道無法避免邊緣案例漏洞。 因此，我們尋求道德駭客社群的支援，他們有時能夠偵測到只能在特定情況下發現的錯誤。

這就是為什麼我們的錯誤賞金計畫側重於招募技術嫻熟、高效率的研究人員。 在 2022 年，我們向研究人員發出額外邀請，延攬他們加入我們的 HackerOne 計畫，著重於吸引活躍的安全人才。 我們也希望在計畫之外尋找人才，因此我們透過 H1-702 等產業活動接觸相關社群。

這些研究人員辛勤工作協助我們，因此，我們努力歡慶成功的報告提交。 在 2023 會計年度，自該計畫啟動以來，我們已向數百名研究人員提供 390 萬美元的賞金，迄今總計超過 700 萬美元。 

除了識別漏洞之外，外部研究人員的支援也協助我們在 Zoom 取得其他形式的進步。 我們使用這些報告來展示需要注意的項目、標記問題的根本原因、建立更好的跨職能協調，並在潛在威脅成為問題之前將它們一一揪出。 因此，在過去兩年中，我們在解決錯誤賞金報告的時間上有了顯著改善。

今年年初，我們重組團隊並為 2024 會計年度的計畫開發更新項目。 我們評估了目前在計畫中的研究人員，確保每個人都能積極參與並做出貢獻。 我們希望在新的一年邁出正確的一步，而這一切皆始於與高素質、高效率的研究人員合作。

Zoom 的錯誤賞金計畫還實作了全新的漏洞影響評分系統，以協助研究人員發揮最佳的工作表現。 我們將繼續使用產業標準「通用漏洞評分系統」(CVSS) 對報告進行評分，同時持續改進我們的計畫，推出名為「漏洞影響評分系統」(VISS) 的配套評分系統。該系統針對報告的每個漏洞，分析 13 種與 Zoom 基礎設施、技術和客戶資料安全相關之層面的影響。 隨著 VISS 開始實施，錯誤賞金可以更專注於負責任地衡量所展示的影響，而不是專注於理論上可能的漏洞利用。

隨著 Zoom 錯誤賞金計畫在過去一年的發展，我們將持續推動並使我們的流程、賞金獎勵和測試範圍等更加成熟。 我們非常高興看到全新評分系統帶來的影響，以及我們的研究人員在 2023 年所能帶來的良好效應。 

如果您有興趣協助提高 Zoom 的安全性，請將您的 HackerOne 個人資料名稱以電子郵件寄送至 bugbounty@zoom.us，或前往 Zoom 人才招募頁面以查看信任和安全團隊中的工作職缺。祝您破解愉快！

如欲深入瞭解 Zoom 的隱私權和安全性，請參閱我們的 Trust Center。