Çfarë është një Bug Bounty?

Me sa kompleks është softueri, është sfiduese të sigurohet që nuk ka gabime. Kjo është thjesht mënyra e gjërave që janë të dizajnuara nga njeriu dhe shumë komplekse. Për të minimizuar problemin, kompanitë e zhvillimit të softuerit përfshijnë rishikimet e kodit në ciklin e tyre jetësor të zhvillimit të softuerit. Por edhe shqyrtimi i kujdesshëm i ekspertëve nuk mund të arrijë gjithçka. Kufizimet në kohë reale dhe buxhetore e përkeqësojnë këtë. Për shkak të kësaj, defektet bëjnë rrugën e tyre drejt sistemeve të prodhimit. Disa gabime kanë pak ose aspak efekt, por të tjerët mund të sjellin dobësi të këqija sigurie.

Një cenueshmëri sigurie është një klasë gabimesh që ndikojnë në sigurinë e sistemit në një farë mënyre. Ekziston një gamë e gjerë rezultatesh të mundshme, por në fund të fundit, të gjitha dobësitë e sigurisë janë të këqija për të gjithë. Për fat të keq, gjetja e gabimeve mund të jetë e vështirë dhe kërkon kohë. Ndërsa zhvilluesit mund të shpenzojnë vetëm një sasi të kufizuar kohe duke testuar për gabime, një grup tjetër i kombinuar shpenzon shumë më tepër kohë duke përdorur aplikacionin - përdoruesit.

Përdoruesit e një sistemi, të kombinuar, shpenzojnë një sasi të madhe më shumë kohë në një sistem sesa zhvilluesit e atij sistemi mund të kenë mundur ndonjëherë. Ata gjithashtu përdorin një shumëllojshmëri shumë më të gjerë të pajisjeve. E kombinuar, kjo e bën mjedisin e përsosur për gjetjen e defekteve - shumë sy dhe këllëf.

Vënia në punë e përdoruesve

Mënyra tradicionale për të përdorur përdoruesit për të zgjidhur defektet është të kesh një funksion të raportimit të gabimeve që i lejon përdoruesit të raportojnë një gabim që hasin. Zhvilluesit mund ta përdorin këtë informacion për të përsëritur, identifikuar dhe korrigjuar problemin. Problemi është se ka një nxitje minimale që përdoruesi të raportojë çdo problem. Është një proces që kërkon kohë, ka implikime të mundshme në privatësi dhe në përgjithësi nuk rezulton në asnjë reagim, edhe nëse problemi zgjidhet.

Dobësitë e sigurisë janë edhe më të këqija. Një përdorues me qëllim të keq mund të zgjedhë të përdorë një dobësi që e gjen në mënyrë aktive. Në varësi të çështjes, mund të jetë e mundur të fitohet akses në diçka të vlefshme, qoftë në tregun e zi, qoftë përmes shpërblesës apo shantazhit. Përndryshe, është e mundur të shesësh njohuri për cenueshmërinë në tregun e zi. Sido që të jetë, përdoruesit nuk janë të nxitur të raportojnë gabime dhe janë të dezincentivuar për të raportuar dobësitë e sigurisë.

Kthimi i tabelave

Një sistem shpërblimi i gabimeve është një mënyrë për të kthyer tabelat për të inkurajuar raportimin aktiv të çështjeve të sigurisë. Metoda është e thjeshtë, duke i shpërblyer ata. Metoda standarde është të paguhet një shpërblim monetar dhe të sigurohet njohja publike e kontributit. Kjo shpërblen drejtpërdrejt përdoruesit për raportimin e një dobësie sigurie dhe i inkurajon ata të bëjnë gjënë e duhur.

Sistemet e shpërblimit të gabimeve janë zakonisht të hapura për këdo. Çdo përdorues që identifikon një cenueshmëri sigurie mund ta raportojë atë dhe të paguhet. Megjithatë, ka disa paralajmërime. Për t'u paguar, në përgjithësi duhet të jeni personi i parë që raporton një problem, megjithëse ndonjëherë ka përjashtime të rralla në rrethana të jashtëzakonshme. Ju gjithashtu duhet të ndiqni rregullat.

Rregullat e sistemit të shpërblimit të gabimeve ofrojnë mbrojtje të plotë nga veprimet ligjore nëse qëndroni brenda tyre. Ato shpesh janë të detajuara, por relativisht të drejtpërdrejta. Mos hyni në të dhënat e njerëzve të tjerë, mos përdorni dobësitë me qëllim të keq dhe zbulojini ato privatisht dhe me përgjegjësi. Mund të ketë edhe disa gjëra që konsiderohen jashtë kufijve.

Si janë shpërblimet?

Realisht, shpërblimet bazohen në vullnetin e mirë. Ekziston gjithashtu një element i "nëse kjo shkakton një shkelje të të dhënave, ne do të duhet të paguajmë një gjobë shumë më të madhe". Në përgjithësi, kompania paguan atë që është një shumë relativisht e ulët për të. Megjithatë, kjo mund të jetë shumë për gazetarin. Disa gabime mund të paguhen për më pak se njëqind dollarë. Megjithatë, në raste ekstreme, disa kompani kanë paguar njëqind mijë dollarë për dobësi serioze. Sigurisht, shumica e dhuratave janë shumë më të ulëta se kaq.

Historikisht, shpërblimet e gabimeve kanë qenë shumë më të ulëta dhe ndonjëherë më shumë një falenderim i thjeshtë. Për shembull, dërgimi i një këmishe të vogël ose sigurimi i një abonimi falas gjatë gjithë jetës në shërbim. Megjithatë, kompanitë e mëdha të teknologjisë kanë nxitur tregun, siç ka bërë edhe ardhja e platformave të shpërblimit të gabimeve. Platformat e shpërblimit të gabimeve janë faqe interneti që presin programet e shpërblimit të gabimeve të shumë klientëve. Ata grupojnë gjithçka në një vend. Kjo e bën shumë më të lehtë për një organizatë më të vogël të ekzekutojë një sistem bug bounty. Një nga mënyrat se si e bën këtë është thjesht duke standardizuar procesin.

Natyrisht, shpërblimi për shpërblimin e defekteve është shumë më i vogël se sa mund të arrihet duke shitur defektin në tregun e zi. Koncepti beson se, në përgjithësi, shumica e njerëzve duan të bëjnë gjënë e duhur. Ose të paktën ata nuk duan që rreziku i shkeljes së ligjit t'u kthehet përsëri.

konkluzioni

Një shpërblim i gabimeve është një sistem i pagesës së një shpërblimi për gjetjen dhe zbulimin me përgjegjësi të një cenueshmërie sigurie. Ai inkurajon në mënyrë aktive përdoruesit të testojnë dhe përmirësojnë sigurinë e produkteve. Ai sjell shumë sy të rinj në procesin e testimit, të gjitha me kosto minimale për kompaninë. Natyrisht, si dikush që merr pjesë në një sistem shpërblimi për gabime, është thelbësore të jesh i kujdesshëm dhe të kuptosh rregullat.

Hakerimi është i paligjshëm; programi bug bounty lejon testimin e disa gjërave, por zakonisht përfshin kufizime. Nëse nuk ndiqni rregullat, mund të jeni penalisht përgjegjës. Nëse ndiqni rregullat, gjeni dhe raportoni një gabim, mund të merrni një pagesë të mirë dhe të rrisni sigurinë për veten dhe përdoruesit e tjerë.