名家筆陣：漏洞彩金大勢所趨

科企歡迎黑客入侵

不過，這個趨勢說的是愈來愈專精的科技，產品的精密程度更專門，不是一般使用者可理解，特別是一些有關資訊科技的產品，一旦產品出現漏洞，被黑客侵入攻擊，除會對產品用戶造成影響外，生產的企業更可能承受法律責任，故不少企業投放資源堵塞產品漏洞。

有些企業會獎賞用家，如第一個發現產品漏洞的人可獲獎金，目的是利用企業以外的資源去優化產品質量，有些科技公司甚至歡迎黑客入侵，冀以獎勵黑客來優化產品質量。

蘋果公司最近宣布，該公司會獎勵報告產品漏洞的黑客，決定令人矚目，因之前該公司一直沒有參加這種「漏洞彩金」（Bug Bounty）的遊戲，套用蘋果公司安全工程與架構的負責人所言，現要企業內部人員發現產品的關鍵安全漏洞已是愈來愈難，蘋果公司實行漏洞彩金制度，可讓該公司向通報關鍵漏洞的人發放獎金，達到找出科技漏洞目的。

藉此優化產品質量

推行漏洞彩金制度的科技公司並不少，過去數年間微軟等科技龍頭企業，共支付數以百萬美元計的漏洞彩金，也見證黑客入侵對科技企業的風險。除科技公司提供漏洞彩金以鼓勵找出產品漏洞外，這個誘因也漸被應用在其他產品，特別是科技應用的產品上。

當中汽車生產行業是一個很好的例子，近年汽車愈來愈依賴微電腦和軟件操控，不少的汽車功能都和科技扯上關係，對汽車生產企業而言，它們是引入高科技產品的用家，但對車主來說，若汽車發生問題，汽車生產商脫不了關係，不能以微電腦和操縱軟件是外購零件，便可將產品責任推得一乾二淨，因若有意外，生產商法律責任可以很大。

漏洞彩金制度也在汽車業出現，一些大型汽車生產企業如特斯拉、快意、佳士拿和通用汽車，均提供漏洞彩金，鼓勵外面人士找出產品漏洞。

漏洞彩金制度也應用在不少行業，一些企業甚至會聘用外面黑客，專門測試其企業網絡安全，網上預約汽車服務企業優步就是一個較為人熟悉的例子。

蘇偉文

恒生管理學院商學院院長兼金融學教授，主要研究興趣為國際金融、金融市場及公司管治，在國際著名財務會議及期刊已發表多篇論文，並著有多本作品。

作者：蘇偉文