Que é unha recompensa de erros?

Co complexo que é o software, é un reto asegurarse de que non haxa erros. Este é simplemente o xeito de facer as cousas deseñadas polo ser humano e altamente complexas. Para minimizar o problema, as empresas de desenvolvemento de software inclúen revisións de código no seu ciclo de vida de desenvolvemento de software. Pero mesmo unha revisión coidadosa de expertos non pode atrapar todo. As limitacións orzamentarias e de tempo real agravan isto. Por iso, os erros chegan aos sistemas de produción. Algúns erros teñen pouco ou ningún efecto, pero outros poden introducir desagradables vulnerabilidades de seguridade.

Unha vulnerabilidade de seguridade é unha clase de erros que afectan dalgunha forma á seguridade do sistema. Hai unha ampla gama de resultados posibles, pero ao final, todas as vulnerabilidades de seguridade son malas para todos. Desafortunadamente, atopar erros pode ser difícil e lento. Aínda que os desenvolvedores só poden dedicar un tempo limitado a probar erros, outro grupo combinado pasa moito máis tempo usando a aplicación: os usuarios.

Os usuarios dun sistema, xuntos, pasan moito máis tempo nun sistema do que puideron os desenvolvedores dese sistema. Tamén usan unha variedade moito máis ampla de dispositivos. Combinado, isto fai o ambiente perfecto para atopar erros: moitos ollos e estuches de borde.

Poñer a traballar aos usuarios

A forma tradicional de utilizar os usuarios para resolver erros é ter algunha función de informe de erros que permita aos usuarios informar dun erro que atopan. Os desenvolvedores poden usar esta información para replicar, identificar e solucionar o problema. O problema é que hai un incentivo mínimo para que o usuario informe de calquera problema. É un proceso que leva tempo, ten posibles implicacións de privacidade e, polo xeral, non dá lugar a comentarios, aínda que o problema se solucione.

As vulnerabilidades de seguridade son aínda peores. Un usuario malintencionado pode optar por utilizar unha vulnerabilidade que atope activamente. Dependendo do problema, pode ser posible acceder a algo valioso, xa sexa no mercado negro ou mediante rescate ou chantaxe. Alternativamente, é posible vender coñecementos sobre a vulnerabilidade no mercado negro. De calquera xeito, non se incentiva aos usuarios a informar de erros e non se incentiva a informar de vulnerabilidades de seguridade.

Dar a volta ás táboas

Un sistema de recompensas de erros é unha forma de cambiar as cousas para fomentar a denuncia activa de problemas de seguridade. O método é sinxelo, premiándoos. O método estándar é pagar unha recompensa monetaria e proporcionar un recoñecemento público da contribución. Isto recompensa directamente aos usuarios por informar dunha vulnerabilidade de seguranza e anímaos a facer o correcto.

Os sistemas de recompensas de erros adoitan estar abertos a calquera persoa. Calquera usuario que identifique unha vulnerabilidade de seguranza pode denunciala e recibir o pago. Non obstante, hai algunhas advertencias. Para recibir o pago, xeralmente ten que ser a primeira persoa en informar dun problema, aínda que ás veces hai raras excepcións en circunstancias excepcionais. Tamén hai que seguir as regras.

As regras dun sistema de recompensa por erros ofrecen unha protección total contra accións legais se permaneces dentro delas. Moitas veces son detallados pero relativamente sinxelos. Non acceda aos datos doutras persoas, non utilice as vulnerabilidades de forma maliciosa e revélaas de forma privada e responsable. Tamén pode haber algunhas cousas que se consideran fóra dos límites.

Como son as recompensas?

De xeito realista, as recompensas baséanse na boa vontade. Tamén hai un elemento de "se isto causase unha violación de datos, teriamos que pagar unha multa moito maior". En xeral, a empresa paga por iso unha cantidade relativamente baixa. Non obstante, isto pode ser moito para o xornalista. Algúns erros poden pagarse por menos de cen dólares. Porén, en casos extremos, algunhas empresas pagaron cen mil dólares por vulnerabilidades graves. Por suposto, a maioría das recompensas son moito máis baixas que iso.

Históricamente, as recompensas de erros foron moito máis baixas e ás veces máis dun simple agradecemento. Por exemplo, enviar unha camiseta gratuíta ou proporcionar unha subscrición gratuíta de por vida ao servizo. Non obstante, as grandes empresas tecnolóxicas impulsaron o mercado, así como a chegada das plataformas de recompensas de erros. As plataformas de recompensas de erros son sitios web que albergan os programas de recompensas de erros de moitos clientes. Agrupan todo nun só lugar. Isto fai que sexa moito máis fácil para unha organización máis pequena executar un sistema de recompensas de erros. Unha das formas de facelo é simplemente estandarizando o proceso.

Por suposto, a recompensa dunha recompensa de erros é moito menor da que se podería conseguir vendendo o erro no mercado negro. O concepto confía en que, xeralmente, a maioría da xente quere facer o correcto. Ou polo menos non queren que o risco de incumprir a lei volva perseguilos.

Conclusión

Unha recompensa por erro é un sistema de pago dunha recompensa por atopar e divulgar de forma responsable unha vulnerabilidade de seguridade. Anima activamente aos usuarios a probar e mellorar a seguridade dos produtos. Aporta moitos novos ollos ao proceso de proba, todo cun custo mínimo para a empresa. Por suposto, como alguén que participa nun sistema de recompensas por erros, é esencial ter coidado e comprender as regras.

O hackeo é ilegal; o programa de recompensa de erros permite probar algunhas cousas pero normalmente inclúe limitacións. Se non segues as regras, podes ser responsable penalmente. Se segues as regras, atopas e informas un erro, podes obter un bo pago e aumentar a seguridade para ti e para outros usuarios.