關於趨勢科技 Zero Day Initiative™ 漏洞懸賞計劃(ZDI)

我們的使命

Trend ZDI 計劃成立於 2005 年,目的是要鼓勵研究人員以私人身份向受影響廠商報告零時差漏洞。當時,資訊保安業界有些人視揭露漏洞者為惡意黑客且居心叵測,時至今日,仍然有些人具有這樣思維。儘管具備專業技能的惡意黑客確實依然存在,但他們只有少數人能發現新的軟件漏洞。

我們的使命

在全球建構一個獨立的研究人員社群,令我們的內部研究機構具備額外的零時差研究與漏洞攻擊情報。這方法與 Trend ZDI 計劃相輔相成。Trend ZDI 計劃的主要目標是:

icon

建立一個由優秀研究人員組成的虛擬社群來提升團隊效能。

icon

透過財政獎勵來鼓勵負責任地報告零時差漏洞。

icon

保護趨勢科技客戶免於漏洞影響,直到有關廠商部署修補更新為止。

今日,Trend ZDI 是全球最大的非廠商漏洞懸賞計劃。我們取得漏洞資訊的方法有別於其他計劃。在廠商解決問題之前,我們不會公開發佈相關漏洞的技術細節。它讓趨勢科技能善用外部研究人員的方法、專業知識和時間來延伸其內部研究團隊,同時又能在受影響廠商開發修補更新時保護客戶。

來自全球的獨立研究人員都會向我們提供有關未修補漏洞的獨家資訊。我們的內部研究人員和分析師會在我們的實驗室驗證問題,並且為研究人員提供財務回報。如果他們接受了提議,我們就會立即付款。經由 Trend ZDI 提交漏洞,研究人員就不需追蹤廠商對漏洞的處理,我們會盡一切努力與廠商合作,確保他們了解所通報漏洞的技術細節與嚴重性。而研究人員則可自由發掘其他漏洞。

你擁有這些我未能雇用的威脅研究人員,他們可以找到令我可以在晚上安寢的東西,他們也讓世界變得更美好。

alt

Jason Cradit

Summit Carbon 資訊長兼技術長

當廠商花太久的時間仍未能解決漏洞時,我們的揭露政策可確保某些細節將被公開。如此一來,即使沒有修補更新,用戶也能採取行動來保護自己的資源。這亦確保被發現的漏洞都不會因為某家廠商不想解決而「被滅聲」。無論廠商如何應對,趨勢科技產品都能提供防護。在 2024 年,趨勢科技客戶平均在廠商發佈修補更新之前超過 90 天就已釋出防護。我們的政策進一步向研究人員保證,他們所發現的任何情況絕對不會被「屏蔽」。此外,我們也向產品廠商保證,整個揭露過程都有一套專業且規範的準則。

當相關廠商釋出修補更新之後,Trend ZDI 會與廠商合作,透過一份聯合公告來通知大眾,除非研究人員選擇保持匿名,否則該漏洞將完全歸功於初始的研究人員。這樣的做法讓我們能夠保護比我們自己客戶群更大的用戶群。

Trend ZDI 活動

沒有 Trend ZDI,許多漏洞會繼續潛伏在關閉的大門之後,或者被賣給地下市場作不法用途。Trend ZDI 與軟件廠商及研究社群的長期合作關係,有助於改變資訊保安在產品開發生命週期中的重要性,從而帶來更安全的產品及保障客戶。

過去 20 年來,Trend ZDI 揭露了超過 15000 個漏洞,同時為趨勢科技平台提供獨特的威脅情報,也為影響所有人的軟件和服務提供強化的受攻擊面保護。

與我們聯繫

一般查詢

zdi@trendmicro.com

在 X 上搜尋我們

@thezdi

在 Mastodon 上搜尋我們

Mastodon

敏感的電郵通訊

PGP 金鑰