Què és un bug Bounty?

Amb la complexitat del programari, és difícil assegurar-se que no hi hagi errors. Aquesta és simplement la manera de les coses dissenyades per humans i molt complexes. Per minimitzar el problema, les empreses de desenvolupament de programari inclouen revisions de codi en el seu cicle de vida de desenvolupament de programari. Però fins i tot una revisió acurada d'experts no pot captar-ho tot. Les limitacions en temps real i pressupostàries ho agreugen. Per això, els errors es dirigeixen als sistemes de producció. Alguns errors tenen poc o cap efecte, però d'altres poden introduir vulnerabilitats de seguretat desagradables.

Una vulnerabilitat de seguretat és una classe d'errors que afecta la seguretat del sistema d'alguna manera. Hi ha una àmplia gamma de resultats possibles, però al final, totes les vulnerabilitats de seguretat són dolentes per a tothom. Malauradament, trobar errors pot ser difícil i requereix molt de temps. Tot i que els desenvolupadors només poden passar una quantitat limitada de temps provant errors, un altre grup combinat passa molt més temps utilitzant l'aplicació: els usuaris.

Els usuaris d'un sistema, combinats, passen molt més temps en un sistema que els desenvolupadors d'aquest sistema. També utilitzen una varietat molt més àmplia de dispositius. En combinació, això fa l'entorn perfecte per trobar errors: molts ulls i estoigs.

Posar els usuaris a treballar

La manera tradicional d'utilitzar els usuaris per resoldre errors és tenir alguna funció d'informe d'errors que permeti als usuaris informar d'un error que troben. Els desenvolupadors poden utilitzar aquesta informació per replicar, identificar i solucionar el problema. El problema és que hi ha un incentiu mínim perquè l'usuari informi de qualsevol problema. És un procés que requereix temps, té possibles implicacions sobre la privadesa i, en general, no genera cap comentari, fins i tot si el problema es soluciona.

Les vulnerabilitats de seguretat són encara pitjors. Un usuari maliciós podria optar per utilitzar una vulnerabilitat que troba activament. Depenent del problema, pot ser possible accedir a alguna cosa valuosa, ja sigui al mercat negre o mitjançant un rescat o xantatge. Alternativament, és possible vendre coneixement de la vulnerabilitat al mercat negre. De qualsevol manera, els usuaris no estan incentivats per informar d'errors i estan desincentivats per informar de vulnerabilitats de seguretat.

Girant les taules

Un sistema de recompenses d'errors és una manera d'invertir les taules per fomentar la notificació activa de problemes de seguretat. El mètode és senzill, els premia. El mètode estàndard és pagar una recompensa monetària i donar un reconeixement públic de la contribució. Això recompensa directament els usuaris per informar d'una vulnerabilitat de seguretat i els anima a fer el correcte.

Els sistemes de recompenses d'errors solen estar oberts a qualsevol persona. Qualsevol usuari que identifiqui una vulnerabilitat de seguretat pot informar-ne i rebre un pagament. Hi ha algunes advertències, però. Per rebre el pagament, en general has de ser la primera persona a informar d'un problema, tot i que de vegades hi ha excepcions rares en circumstàncies excepcionals. També has de seguir les normes.

Les regles d'un sistema de recompenses d'errors proporcionen una protecció general contra accions legals si us quedeu dins d'elles. Sovint són detallats però relativament senzills. No accediu a les dades d'altres persones, no feu servir vulnerabilitats de manera maliciosa i divulgueu-les de manera privada i responsable. També hi pot haver algunes coses que es consideren fora de límits.

Com són les recompenses?

De manera realista, les recompenses es basen en la bona voluntat. També hi ha un element de "si això va provocar una violació de dades, hauríem de pagar una multa molt més gran". En general, l'empresa paga una quantitat relativament baixa per això. Això, però, pot ser molt per al periodista. Alguns errors es poden pagar per menys de cent dòlars. En casos extrems, però, algunes empreses han pagat cent mil dòlars per vulnerabilitats greus. Per descomptat, la majoria de les recompenses són molt inferiors.

Històricament, les recompenses d'errors han estat molt més baixes i de vegades més d'un simple agraïment. Per exemple, enviar una samarreta gratuïta o proporcionar una subscripció gratuïta de tota la vida al servei. Tanmateix, les grans empreses tecnològiques han impulsat el mercat, així com l'arribada de plataformes de recompenses d'errors. Les plataformes de recompensa d'errors són llocs web que allotgen els programes de recompensa d'errors de molts clients. Ho agrupen tot en un sol lloc. Això fa que sigui molt més fàcil per a una organització més petita executar un sistema de recompenses d'errors. Una de les maneres de fer-ho és simplement estandarditzar el procés.

Per descomptat, la recompensa d'una recompensa d'error és molt inferior a la que es podria aconseguir venent l'error al mercat negre. El concepte sí que confia que, en general, la majoria de la gent vol fer el correcte. O almenys no volen que el risc d'infringir la llei torni a perseguir-los.

Conclusió

Una recompensa d'error és un sistema de pagament d'una recompensa per trobar i revelar de manera responsable una vulnerabilitat de seguretat. Anima activament els usuaris a provar i millorar la seguretat dels productes. Aporta molts ulls nous al procés de prova, tot amb un cost mínim per a l'empresa. Per descomptat, com a algú que participa en un sistema de recompenses d'errors, és essencial tenir cura i entendre les regles.

La pirateria és il·legal; el programa de recompensa d'errors permet provar algunes coses, però normalment inclou limitacions. Si no segueixes les normes, pots ser responsable penalment. Si seguiu les regles, trobeu i informeu d'un error, podeu obtenir un bon pagament i augmentar la seguretat per a vosaltres mateixos i els altres usuaris.


No sha pogut trobar ladreça DNS del servidor de reparació a Chrome

No sha pogut trobar ladreça DNS del servidor de reparació a Chrome

De vegades, quan esteu treballant a Chrome, no podeu accedir a determinats llocs web i apareix un error "No s'ha pogut trobar l'adreça DNS del servidor a Chrome". Aquí teniu com podeu resoldre el problema.

Netflix: Canvia la contrasenya

Netflix: Canvia la contrasenya

Com canviar la vostra contrasenya al servei de streaming de vídeo de Netflix mitjançant el vostre navegador preferit o l'aplicació d'Android.

Com desactivar el missatge de restauració de pàgines a Microsoft Edge

Com desactivar el missatge de restauració de pàgines a Microsoft Edge

Si voleu desfer-vos del missatge Restaura les pàgines a Microsoft Edge, tanqueu el navegador o premeu la tecla Esc.

Què és lenllaç profund?

Què és lenllaç profund?

L'enllaç profund és la tècnica de redirecció d'usuaris de tendència. Obteniu informació sobre els enllaços profunds aquí per utilitzar-los per fer créixer el trànsit del vostre lloc web o de l'aplicació.

Què és AR Cloud?

Què és AR Cloud?

La RA és la següent gran cosa d'Internet per a l'entreteniment, la feina o els negocis. Apreneu el núvol de RA en detalls per convertir-vos en un usuari informat.

Com utilitzar Microsoft Edge Drop com un professional

Com utilitzar Microsoft Edge Drop com un professional

Utilitzeu Microsoft Edge Drop i compartiu fàcilment fitxers i missatges entre dispositius seguint aquests passos senzills per a principiants.

Com desar i compartir rutes a Google Maps

Com desar i compartir rutes a Google Maps

Vegeu com de fàcil és desar i compartir rutes a Google Maps al vostre ordinador i al vostre Android. Fes una ullada a aquests passos per a principiants.

Una llista de noms de Wi-Fi divertits

Una llista de noms de Wi-Fi divertits

M'agrada mantenir entretinguts els meus veïns canviant la meva xarxa Wi-Fi per diferents noms divertits. Si busqueu idees per a un nom Wi-Fi divertit, aquí

Com desfer-se dels anuncis a Gmail

Com desfer-se dels anuncis a Gmail

Gmail és sens dubte un dels millors serveis de correu electrònic disponibles avui dia, oferint una sèrie de funcions impressionants que fan que la comunicació sigui més eficient i

Com canviar el nom de Discord

Com canviar el nom de Discord

Tenir un nom d'usuari de Discord és essencial per diversos motius, ja que serveix com a identificador únic a la plataforma i us permet interactuar amb altres