在过去的十年里，数字和信息安全是每个人都必须变得非常熟悉的东西。由于我们随身携带的设备本身存储着从朋友的联系方式到银行帐户信息等所有信息，因此确保这些设备免受所有可能的入侵者的侵害变得越来越重要。

总的来说，苹果在安全方面的记录相当可靠。应用商店的围墙花园虽然经常成为竞争对手嘲笑的目标，但它在减少平台上的恶意软件方面做得非常有效，并且该公司经常为其产品发布安全更新。

但即使是苹果公司也并非没有安全缺陷，最近发生的一些事件表明，该公司可能需要不仅仅只是修补软件中的漏洞，还需要改变与发现这些漏洞的人打交道的程序.

赏金狩猎

苹果公司很晚才提出错误赏金计划的想法，它只是于 2016 年推出。竞争对手（无论是第一方还是第三方）长期以来一直提供这些举措，其中安全研究人员因发现特定类型的漏洞而获得报酬。苹果的计划根据错误的严重程度提供浮动支付：例如，破坏安全启动过程的赔偿金额为 200,000 美元，而破坏 iOS 沙箱的赔偿金额则为 25,000 美元。在推出时，该公司为五种不同类别的漏洞利用提供了赏金。

这里我们遇到了第一个问题。虽然这些支出对于我们这样的外行来说可能听起来令人印象深刻，但与安全研究人员通过向其他公司出售这些相同的漏洞所能获得的报酬相比，实际上相对较小，其中一些公司提供的报酬是苹果支付的两倍多。为什么?因为 iOS 设备有数亿台，而漏洞（尤其是严重的漏洞）非常罕见。情报和执法机构等一直在寻找侵入他人设备的方法。

苹果公司的第一步是提高对错误的赔偿。该公司远非现金匮乏，尽管它不想花钱，但也没有必要花钱，但当它拥有最大的平台时，它能承受不提高奖励的代价吗?安全——受到威胁?这与花费数十亿美元用于研发一样是对公司未来的投资。

禁止取消邀请！

假设您愿意以比其他地方更少的价格将您的漏洞出售给 Apple，这可能是出于做正确事情的感觉。您可能无法这样做，因为错误赏金计划目前只能通过 Apple 的邀请才能使用。

这导致了像最近的 Group FaceTime 错误这样的情况，该错误最初是由 14 岁的 Grant Thompson 发现的，他的母亲随后试图向苹果报告该错误。 （该漏洞公开且汤普森的角色显而易见后，苹果公司拜访了这名少年，谁现在将收到赏金。）

将错误赏金计划限制为已知的研究人员是有逻辑的，因为它可能有助于将范围缩小到那些可能提出严重漏洞的人。但苹果绝对应该为那些没有参与该计划的人实施某种并行机制来报告漏洞。否则，我们会看到更多像这样的场景，在这种情况下，该公司显然像是被抓住了。

macOS 死了对你没有好处

说到被抓到，德国安全研究员 Linus Henze 本周声称发现了 macOS 钥匙串中的一个缺陷，允许恶意制作的应用程序无需管理员权限即可访问你的密码。不过，他还表示自己尚未向 Apple 报告该漏洞，因为该公司目前不为 macOS 上的漏洞提供漏洞赏金，这也引起了轰动。

撇开 Henze 决定的优点不谈，这显然是苹果计划的另一个不足之处。赏金涵盖 iOS 和 iCloud，这可能是比 Mac 更大的平台，但苹果每个季度仍然售出数百万台电脑 – 你可能会认为它会想要激励人们为其报告安全问题。

苹果在其最著名的平台上推出该计划是可以理解的，但在提供了两年多的奖励之后，似乎是时候将其扩展到 Mac 上了。特别是因为它的许多技术和系统现在都跨越 Mac 和 iOS。

总的来说，苹果提供错误赏金计划真是太好了，但现在，在推出两年后，它仍然感觉很像 1.0。考虑到最近发生的这些事件，也许该公司是时候进行一次彻底的更新，以确保在这些错误被发现之前将其消除，以维护用户的利益和自身的声誉。