為鼓勵安全研究人員積極向官方提交漏洞報告，美國國土安全部（DHS）發起了 #HackDHS 漏洞賞金計劃。 不過隨著 Log4j 威脅的加劇，美國網路安全與基礎設施安全域（CISA）的 Jen Easterly，又於 Twitter 上宣佈了 #HackDHS 專案的更新。

（via HotHardware）

起初大家只是將”Log4shell”當做《我的世界》這款遊戲中的聊天惡作劇，但這個安全漏洞迅速散播到了世界各地。

作為美國國防部（DHS）下屬的一個下屬機構，CISA 正在對相關漏洞利用保持高度密切關注。 微軟等科技巨頭更是指出，全球許多有深厚背景的駭客，都在積極利用Log4shell漏洞。

在 Log4shell 漏洞公開披露數日後，DHS 就在上周設立了 #HackDHS 計劃，以期更好地應對相關事件。

與許多私營企業的漏洞賞金計劃不同，#HackDHS 並不是一個完全向公眾敞開的計劃，而是希望吸引更多通過審核的網路安全研究人員加盟。

貫穿整個 2022 年，#HackDHS 將分三個階段進行。 在第一階段，安全研究人員將對某些 DHS 外部系統展開虛擬評估。

到第二階段，他們將參與現場、面對面的駭客活動。 最後的第三階段，DHS 將識別和審查數據，並規劃未來的漏洞賞金計劃。

（傳送門：Apache Log4j漏洞指南）

本週三，CISA 主管 Jen Easterly 在推特上發佈了更新后的消息。 本質上，相關事項只是作為 #HackDHS 漏洞賞金計劃的一個補充。

儘管圍繞 Log4j 的主要漏洞已經實施了兩輪修復，但由於早期補丁本身也存在缺陷、許多 Log4j 應用程式未得到及時更新、且總有些系統未獲得正確修補，後續還有一系列考驗正在路上。

至於 #HackDHS 計劃的資質，首先你得被 DHS 挑中才有機會參與。 后若順利找到一個漏洞，即可獲得5000美元的獎勵。

DHS 方面將在缺陷曝光 48 小時內予以驗證，並努力在 15 天內完成修復。 但若漏洞更加複雜且嚴重，DHS 也可能需要耗費更長的時間。