Med hvor kompleks software er, er det udfordrende at sikre, at der ikke er nogen fejl. Dette er simpelthen måden af ting, der er menneskeligt designet og yderst komplekse. For at minimere problemet inkluderer softwareudviklingsvirksomheder kodegennemgange i deres softwareudviklingslivscyklus. Men selv omhyggelig ekspertgennemgang kan ikke fange alt. Selve realtids- og budgetbegrænsningerne forværrer dette. På grund af dette kommer fejl til produktionssystemer. Nogle fejl har ringe eller ingen effekt, men andre kan introducere grimme sikkerhedssårbarheder.
En sikkerhedssårbarhed er en klasse af fejl, der påvirker systemets sikkerhed på en eller anden måde. Der er en bred vifte af mulige resultater, men i sidste ende er alle sikkerhedssårbarheder dårlige for alle. Desværre kan det være svært og tidskrævende at finde fejl. Mens udviklere kun kan bruge en begrænset mængde tid på at teste for fejl, bruger en anden gruppe sammen meget mere tid på at bruge applikationen - brugerne.
Brugere af et system tilsammen bruger enormt meget mere tid på et system, end udviklerne af det system nogensinde kunne. De bruger også et meget bredere udvalg af enheder. Kombineret gør dette det perfekte miljø til at finde fejl – mange øjne og kanthuse.
At sætte brugerne i arbejde
Den traditionelle måde at bruge brugere til at løse fejl på er at have en fejlrapporteringsfunktion, der giver brugerne mulighed for at rapportere en fejl, de støder på. Udviklerne kan bruge disse oplysninger til at replikere, identificere og afhjælpe problemet. Problemet er, at der er et minimalt incitament for brugeren til at rapportere eventuelle problemer. Det er en proces, der tager tid, har potentielle privatlivsimplikationer og generelt ikke resulterer i nogen feedback, selvom problemet er løst.
Sikkerhedssårbarheder er endnu værre. En ondsindet bruger kan vælge at bruge en sårbarhed, de finder aktivt. Afhængigt af problemstillingen kan det være muligt at få adgang til noget værdifuldt, enten på det sorte marked eller gennem løsesum eller afpresning. Alternativt er det muligt at sælge viden om sårbarheden på det sorte marked. Uanset hvad, er brugere ikke tilskyndet til at rapportere fejl og bliver afskåret fra at rapportere sikkerhedssårbarheder.
At vende bordet
Et bug bounty-system er en måde at vende bordet på for at tilskynde til aktiv rapportering af sikkerhedsproblemer. Metoden er enkel og belønner dem. Standardmetoden er at udbetale en kontant dusør og at give offentlig anerkendelse af bidraget. Dette belønner brugerne direkte for at rapportere en sikkerhedssårbarhed og opmuntrer dem til at gøre det rigtige.
Bug bounty-systemer er typisk åbne for alle. Enhver bruger, der identificerer en sikkerhedssårbarhed, kan rapportere den og få betaling. Der er dog nogle forbehold. For at blive betalt skal du generelt være den første person, der rapporterer et problem, selvom der nogle gange er sjældne undtagelser under ekstraordinære omstændigheder. Du skal også følge reglerne.
Reglerne for et bug bounty-system giver generel beskyttelse mod juridiske handlinger, hvis du holder dig inden for dem. De er ofte detaljerede, men relativt ligetil. Få ikke adgang til andres data, brug ikke sårbarheder ondsindet, og oplys dem privat og ansvarligt. Der kan også være nogle ting, der betragtes som off-limits.
Hvordan er belønningerne?
Realistisk set er belønningerne baseret på goodwill. Der er også et element af "hvis dette forårsagede et databrud, ville vi skulle betale en meget større bøde." Generelt betaler virksomheden, hvad der er et relativt lavt beløb for det. Dette kan dog være ret meget for reporteren. Nogle fejl kan blive betalt for mindre end hundrede dollars. I ekstreme tilfælde har nogle virksomheder dog betalt hundrede tusinde dollars for alvorlige sårbarheder. Selvfølgelig er de fleste dusører meget lavere end det.
Historisk set har bug bounties været meget lavere og nogle gange mere en simpel tak. At sende en gratis t-shirt ud eller give et gratis livstidsabonnement på tjenesten, for eksempel. Store teknologivirksomheder har dog styrket markedet, ligesom ankomsten af bug bounty-platforme. Bug bounty-platforme er websteder, der er vært for mange klienters bug-bounty-programmer. De samler alt på ét sted. Dette gør det meget nemmere for en mindre organisation at køre et bug bounty-system. En af måderne, den gør dette på, er simpelthen ved at standardisere processen.
Selvfølgelig er belønningen i en bug-bounty meget mindre, end man kunne opnå ved at sælge fejlen på det sorte marked. Konceptet stoler på, at de fleste mennesker generelt ønsker at gøre det rigtige. Eller i det mindste ønsker de ikke, at risikoen for at bryde loven vender tilbage til at hjemsøge dem.
Konklusion
En bug bounty er et system til at betale en belønning for at finde og ansvarligt afsløre en sikkerhedssårbarhed. Det opfordrer aktivt brugerne til at teste og forbedre produkternes sikkerhed. Det bringer mange nye øjne til testprocessen, alt sammen med minimale omkostninger for virksomheden. Som en, der deltager i et bug bounty-system, er det selvfølgelig vigtigt at være forsigtig og forstå reglerne.
Hacking er ulovligt; bug bounty-programmet tillader at teste nogle ting, men inkluderer typisk begrænsninger. Hvis du ikke følger reglerne, kan du blive straffet ansvarlig. Hvis du følger reglerne, finder og rapporterer en fejl, kan du muligvis få en pæn udbetaling og øge sikkerheden for dig selv og andre brugere.
Træt af, at synkroniseringskonflikt med flere profiler i Microsoft Edge ødelægger din browsing? Opdag trinvise løsninger til at løse synkroniseringsfejl, flette profiler og synkronisere problemfrit på tværs af enheder. Fungerer på de nyeste Edge-versioner!
Træt af, at din Microsoft Edge Sync Pause-kontofejl forstyrrer din browsing? Opdag hurtige og effektive fejlfindingstrin til at gendanne problemfri synkronisering på tværs af enheder. Opdateret med de seneste rettelser for en problemfri Edge-oplevelse.
Få styr på den frustrerende fejlmeddelelse om ukendt disk i bagudkompatible spil på Xbox Series X|S. Følg vores gennemprøvede trinvise løsninger for at gendanne dit klassiske spilbibliotek med det samme.
Har du problemer med fejlen i Microsoft Edge Windows Hello PIN-nulstilling? Opdag trinvise løsninger, der hurtigt løser problemet. Få adgang til din browser igen uden frustrationer – opdateret til de seneste Windows-opdateringer.
Har du problemer med den blanke, hvide skærm i Microsoft Edge ved opstart? Opdag trinvise løsninger på problemet med den blanke, hvide skærm i Edge, fra hurtige nulstillinger til avancerede reparationer. Kom problemfrit tilbage til at browse!
Trin-for-trin-guide til, hvordan du sikkerhedskopierer Microsoft Edge-data som bogmærker, adgangskoder, historik og indstillinger før en systemnulstilling. Beskyt dine essentielle browseroplysninger med nemme og pålidelige metoder.
Sidder du fast med fejlen "Microsoft Edge Capture Card No Signal 60FPS"? Opdag dokumenterede løsninger til at gendanne signalet, nå 60FPS problemfrit og streame uden forsinkelser. Trin-for-trin-guide til øjeblikkelige resultater!
Træt af den frustrerende Microsoft Edge Side-by-Side-konfigurationsfejl? Opdag enkle, trinvise løsninger, der hurtigt løser problemet og giver problemfri browsing tilbage. Opdateret med de nyeste løsninger!
Sidder du fast med Microsoft Edge Installer-fejl 124? Få trinvise løsninger til at løse installationsfejl hurtigt. Gennemprøvede løsninger til problemfri Edge-opsætning på Windows. Ingen tekniske færdigheder kræves!
Træt af, at Microsoft Edge Installer-fejl 124 blokerer din Windows 11-opsætning? Følg vores gennemprøvede, nemme løsninger for at løse det hurtigt og gendanne problemfri browsing. Ingen teknisk ekspertise nødvendig!
