倫敦大學大三期末論文訪問邀約

唐鳳 政委您好:
我是在新加坡就讀倫敦大學的台灣人黃珮瑜,我大三期末論文要研究Bug-bounty program (漏洞挖掘獎勵計畫)如何漸漸成為現今各大公司和政府部門強化資安管理的策略。這個研究希望透過program提供者(公司/政府)、駭客和第三方平台的角度,來深入了解Bug-bounty program 的優缺點。
我日前於「資安解壓縮 」EP17文章中看到您提及國發會的MyData網站 服務上線的不久後,被白帽駭客AuthMe 團隊發現漏洞,白帽駭客在透過這些漏洞獎勵機制,除了可以拿到獎勵外,也可以得到名聲、發表CVE等等的好處。 因此我想透過訪問來得知您對於Bug-bouty program (BBP)的看法。
問題主要為:

  1. 政府有在施行BBP嗎? 那實際做法跟想法是甚麼?
  2. 近日來,台灣有在考慮推行數位身分證,您有採用BBP來測試系統嗎?
  3. 請問在採用BBP前,您都是如何處理通報政府系統漏洞的來信,有專門的管道來處理嗎?
  4. 您覺得BBP的優缺點分別是甚麼,而其對於施行的困難度有何影響?
  5. 我訪問過的公司曾提及處理付錢給國外駭客的稅務問題是一大困難點之一,甚至可能有資助恐怖份子的疑慮,對此您有何想法?
  6. 比起委託專業的資安公司,採用公開BBP,會有不專業的人提供太多雜訊和錯誤回報,請問您要如何處理這些scam並過濾雜訊和讀回報報告?
  7. 您覺得政府透過第三方平台(ex: HackerOne with U.S. Deffense Department) 和政府自辦BBP的差別是甚麼? 您建議與第三方平台合作嗎?
  8. 您要如何建立與駭客之間的信任基礎,並防止被發現的漏洞沒被通報甚至被濫用?
  9. 您會建議政府部門採用並持續使用BBP嗎?

如果您方便接受訪問,請回覆您方便的日期時段和地點,時間非常的彈性,視訊方式亦可,訪談的時間會需要大概一到兩個小時並需要錄音以便紀錄。
唐鳳政委您在資安領域為一相當具代表性的人物,您的意見對我的學生論文會有很大的幫助,請您不吝指教。
若您有任何疑問或需了解相關細節,請聯絡我的信箱。
謝謝您!
聯絡信箱: pyhuang001@mymail.sim.edu.sg
此邀約也同步發送到您audreyt@audreyt.org 信箱。