Mis on vearaha?

Kuna tarkvara on keeruline, on keeruline tagada, et vigu ei esineks. See on lihtsalt inimeste loodud ja väga keerukate asjade viis. Probleemi minimeerimiseks lisavad tarkvaraarendusettevõtted oma tarkvaraarenduse elutsüklisse koodide ülevaated. Kuid isegi hoolikas eksperthinnang ei suuda kõike tabada. Väga reaalajas ja eelarvepiirangud süvendavad seda. Seetõttu jõuavad vead tootmissüsteemidesse. Mõnel veal on vähe mõju või see puudub üldse, kuid teised võivad tekitada ebameeldivaid turvaauke.

Turvahaavatavus on vigade klass, mis mõjutab mingil moel süsteemi turvalisust. Võimalikke tulemusi on palju, kuid lõpuks on kõik turvanõrkused kõigile kahjulikud. Kahjuks võib vigade leidmine olla keeruline ja aeganõudev. Kui arendajad saavad vigade testimiseks kulutada vaid piiratud aja, kulutab teine ​​rühm kokkuvõttes rakendust kasutades palju rohkem aega – kasutajad.

Süsteemi kasutajad kokku veedavad süsteemile tohutult rohkem aega, kui selle süsteemi arendajad eales suudaksid. Samuti kasutavad nad palju laiemat valikut seadmeid. Üheskoos on see ideaalne keskkond vigade leidmiseks – palju silmi ja äärmuslikke juhtumeid.

Kasutajate tööle panemine

Traditsiooniline viis kasutajate kasutamiseks vigade lahendamiseks on mõni tõrketeavitamise funktsioon, mis võimaldab kasutajatel ettejuhtuvast veast teada anda. Arendajad saavad seda teavet kasutada probleemi kordamiseks, tuvastamiseks ja lahendamiseks. Probleem on selles, et kasutajal on minimaalne stiimul probleemidest teavitada. See on protsess, mis võtab aega, võib avaldada mõju privaatsusele ja üldiselt ei anna tagasisidet, isegi kui probleem on lahendatud.

Turvanõrkused on veelgi hullemad. Pahatahtlik kasutaja võib valida leitud haavatavuse aktiivse kasutamise. Olenevalt probleemist võib olla võimalik saada juurdepääs millelegi väärtuslikule kas mustal turul või lunaraha või väljapressimise teel. Teise võimalusena on võimalik müüa teadmisi haavatavuse kohta mustal turul. Mõlemal juhul ei motiveerita kasutajaid vigadest teatama ega turbehaavatavustest teatama.

Laudade pööramine

Vearahasüsteem on viis tabelite muutmiseks, et julgustada turvaprobleemidest aktiivselt teatama. Meetod on lihtne, premeerib neid. Tavaline meetod on rahalise preemia maksmine ja panuse avalik kinnitus. See premeerib kasutajaid turvaaugust teatamise eest ja julgustab neid õigesti tegutsema.

Bug bounty süsteemid on tavaliselt avatud kõigile. Iga kasutaja, kes tuvastab turvaauku, võib sellest teatada ja saada tasu. Siiski on mõned hoiatused. Tasu saamiseks peate üldjuhul olema esimene inimene, kes probleemist teatab, kuigi mõnikord on erandjuhtudel harvad erandid. Samuti peate järgima reegleid.

Vigade hüvitamise süsteemi reeglid pakuvad täielikku kaitset õiguslike meetmete eest, kui jääte nende piiridesse. Need on sageli üksikasjalikud, kuid suhteliselt sirgjoonelised. Ärge pääsege ligi teiste inimeste andmetele, ärge kasutage turvaauke pahatahtlikult ning avaldage neid privaatselt ja vastutustundlikult. Võib esineda ka asju, mis on keelatud.

Millised on preemiad?

Reaalselt põhinevad hüved firmaväärtusel. Samuti on element "kui see põhjustas andmete rikkumise, peaksime maksma palju suurema trahvi." Üldiselt maksab ettevõte selle eest suhteliselt väikese summa. See võib aga reporteri jaoks olla päris palju. Mõne vea eest võidakse maksta vähem kui sada dollarit. Äärmuslikel juhtudel on mõned ettevõtted aga maksnud tõsiste haavatavuste eest sada tuhat dollarit. Loomulikult on enamik boonuseid sellest palju madalamad.

Ajalooliselt on veahüvitised olnud palju väiksemad ja mõnikord pigem lihtsad tänusõnad. Näiteks tasuta T-särgi saatmine või teenuse eluaegne tasuta tellimus. Suured tehnoloogiaettevõtted on turgu siiski turgutanud, nagu ka veahaldusplatvormide saabumine. Vearahaplatvormid on veebisaidid, mis majutavad paljude klientide veatoetusprogramme. Nad koondavad kõik ühte kohta. See muudab väiksema organisatsiooni jaoks palju lihtsamaks vigade eest tasumise süsteemi haldamise. Üks viise, kuidas seda teha, on lihtsalt protsessi standardimine.

Loomulikult on vea eest makstav tasu palju väiksem, kui seda oleks võimalik saada vea mustal turul müümisega. Kontseptsioon usub, et üldiselt soovib enamik inimesi teha õiget asja. Või vähemalt nad ei taha, et seaduserikkumise oht neid kummitaks.

Järeldus

Vearaha on turvaaukude leidmise ja vastutustundliku avalikustamise eest tasu maksmise süsteem. See julgustab kasutajaid aktiivselt toodete turvalisust testima ja parandama. See toob testimisprotsessi palju uusi pilke ja seda kõike ettevõttele minimaalsete kuludega. Muidugi, kui keegi osaleb vigade hüvitamise süsteemis, on oluline olla ettevaatlik ja mõista reegleid.

Häkkimine on ebaseaduslik; bug bounty programm lubab teatud asju testida, kuid sisaldab tavaliselt piiranguid. Kui te reegleid ei järgi, võite võtta kriminaalvastutuse. Kui järgite reegleid, leiate vea ja teatate sellest, võite saada kena väljamakse ning suurendada enda ja teiste kasutajate turvalisust.