即将启动：“黑掉五角大楼”漏洞赏金计划3.0版

近日，美国国防部 (DoD) 推出了一个网站，以配合其“黑掉五角大楼”(HtP) 计划。

首席数字和人工智能办公室 (CDAO) 数字服务理事会 (DDS) 克雷格·马特利 (Craig Martell) 于上周揭开了该网站的面纱。它将成为国防部组织、供应商和安全研究人员了解如何进行漏洞赏金的资源。

该网站还将与CDAO DDS团队建立合作伙伴关系，以支持和参与国防部范围内的漏洞赏金活动。

马特利说，“随着 HtP 网站的推出，CDAO正在扩展一项长期运行的计划，该计划历来在逐个项目的基础上提供服务，通过让该部门更好地访问经验教训和托管漏洞赏金的最佳实践。该网站帮助国防部运行持续的漏洞赏金计划，作为更广泛的综合网络安全战略的一部分。”

CDAO DDS 解释到，除了教育目的之外，新网站还旨在吸引和招聘技术人才。

“通过黑掉五角大楼，我们正在为网络安全专家建立一个全球人才管道，以在传统的政府职业道路之外为我们的国防做出贡献。”CDAO DDS代理主任 Jinyoung Englund评论道。

根据该局上周四发布的一篇博客文章， “黑掉五角大楼”漏洞赏金计划于2016 年首次公布，该计划将依靠网络安全研究人员来寻找政府设施相关控制系统 (FRCS) 网络中的漏洞。

FRCS 基础设施包括用于监控不动产设施相关系统的系统，例如消防和安全系统、供暖、通风和空调 (HVAC)、公用事业和物理安全系统等。

该赏金计划将仅涉及“五角大楼FRCS 网络中包含的非机密信息系统和操作技术。“这些是敏感的政府资产。因此，承包商将需要利用由技术娴熟且值得信赖的研究人员组成的私人社区，该社区可能仅限于美国人，符合国防部制定的资格标准，并要求研究人员具备多样化的技能，并能够进行源代码分析、逆向工程以及网络和系统开发。”官方解释道。

2016 年推出以来，Hack the Pentagon 已经支持了 40 多个漏洞赏金计划。超过 1400 名道德黑客参与了这些计划，共发现了大约 2100 个漏洞。

黑客入侵五角大楼计划的第二次迭代于 2018 年揭幕。DDS 于 2022 年 6 月成为 CDAO 组织的一部分。

在国防部更新其CMMC 2.0程序数月后，新的 Hack the Pentagon 网站便上线了。Valeo Networks的首席信息官 Matthew Hodson最近在一篇关于信息安全的客座文章中讨论了这些变化。