Apple 刚刚推出了一个专注于 macOS 和 iOS 安全性的新网站,并且已经有两篇博客文章提供了预期的示例,一篇深入探讨了所有 Apple 设备核心的 XNU 内核中的内存分配,另一篇讨论改进的安全赏金流程。
新网站无疑将成为 Apple 安全研究人员的重要资源,既可以提供信息,也可以作为提交赏金的中心。您还可以在Apple 安全研究网站上申请官方 Apple 安全研究设备 (SRD),通过提供对 iOS 通常受保护区域的特殊访问权限来帮助识别漏洞。
由于 macOS、iOS、iPadOS、watchOS 和 tvOS 都基于相同的核心软件库, 因此其中的一个安全漏洞可能会影响其他软件库。 Apple 解释说,它设置为 SRD 的 iPhone 仍然是 Apple 的财产,并且每年可更新提供,仅用于安全研究,应在受控环境中使用。
除了 SRD 之外,Apple 通过更轻松地报告 macOS、捆绑应用程序和其他 Apple 操作系统中发现的任何漏洞,为安全研究人员提供了更大的激励。 Apple 声称其工程师将审查和调查每个提交的内容,并发布通知以确认错误,并让您知道您是否有资格获得 Apple 的安全赏金计划。
Apple 的漏洞赏金计划支付了数百万美元,但事实证明,对于一些安全研究人员和开发人员来说,这是一次令人沮丧的经历。也许这会随着新的 Apple 安全研究网站的推出而改变。