Vercel 正式向公众开放开源软件漏洞赏金计划
3 分钟阅读
2026 年 2 月 3 日
安全是 Vercel 所有产品建设的基石。我们的开源项目支撑着全球数百万个应用,既包括个人小项目,也包括《财富》500 强企业中高负载的生产业务。正因如此,我们持续加大对平台及更广泛生态安全能力的投入。
今天,我们在 HackerOne 上正式将 Vercel 开源软件(OSS)漏洞赏金计划向公众开放。我们邀请全球安全研究人员来发现漏洞、挑战既有假设,并帮助我们为所有使用这些工具的开发者降低风险。
自 2025 年 8 月以来,我们已与一小组研究人员运行了开源软件私有漏洞赏金计划。该计划在我们的 Tier 1 项目中产出了多份高危报告,并帮助我们打磨了漏洞分级、修复、协同披露和 CVE 发布流程。现在,我们已准备好扩大范围。
Link to heading在既有安全投入基础上持续推进
去年秋天,我们上线了一个聚焦于 Web Application Firewall 与 React2Shell 漏洞类别的赏金计划。我们没有等待绕过手法在野外出现,而是采取更主动的方式:先付费给安全研究人员,让他们先发现问题。
该计划向数十位研究人员累计发放了超过 100 万美元奖励,帮助我们在攻击者利用前就发现并修复漏洞。经验非常明确:合理的激励和清晰的沟通,能够让研究人员成为合作伙伴,而不是对立方。
将私有 OSS 漏洞赏金计划向公众开放,是顺理成章的下一步。这些项目中的安全漏洞影响的不只是 Vercel,也影响所有基于这些工具构建产品的人。及时发现并修复漏洞,就是在保护数百万终端用户。
Link to heading覆盖哪些项目
所有 Vercel 开源项目都在范围内。下面列出的项目构成了 Vercel 开源生态的核心,也是数百万开发者每天依赖的框架、库与工具。
Link to headingHackerOne 计划纳入的核心项目
项目
说明
面向生产级 Web 应用的 React 框架
用于现代 Web 开发的 Vue.js 框架
用于数据获取的 React Hooks 库
用于构建用户界面的框架
面向 monorepo 的高性能构建系统
用于 AI 应用的 TypeScript 工具集
Vercel 平台的命令行接口
持久化工作流执行引擎
Feature flags SDK
轻量级毫秒转换工具
通用服务器引擎
用于异步操作的信号量工具
开源 Agent skills 工具:npx skills
这些项目一旦出现漏洞,潜在影响最大,因此我们会优先投入事件响应、漏洞管理和 CVE 发布。
Link to heading如何参与
如果你是安全研究人员,并准备开始漏洞挖掘,请访问 HackerOne,你将获得所需的全部信息:范围细则、奖励区间和提交指南。
当你发现漏洞后,请通过 HackerOne 提交,并附上清晰的复现步骤。我们的安全团队会审核每一条提交,并在漏洞披露流程中直接与研究人员协作。我们承诺快速响应与透明沟通。
我们感谢每一位深入研究代码并负责任上报问题的研究人员。你们的工作让这些项目对所有人都更安全。
原文链接:https://vercel.com/blog/the-vercel-oss-bug-bounty-program-is-now-available
