S obzirom na to koliko je softver složen, teško je osigurati da nema grešaka. To je jednostavno put stvari koje su ljudi dizajnirali i vrlo su složene. Kako bi smanjili problem, tvrtke za razvoj softvera uključuju recenzije koda u svoj životni ciklus razvoja softvera. Ali ni pažljivim stručnim pregledom ne može se sve uhvatiti. Ograničenja u stvarnom vremenu i proračunska ograničenja to pogoršavaju. Zbog toga se greške probijaju do proizvodnih sustava. Neki bugovi imaju mali ili nikakav učinak, ali drugi mogu uvesti gadne sigurnosne ranjivosti.
Sigurnosna ranjivost je klasa bugova koja na neki način utječe na sigurnost sustava. Postoji širok raspon mogućih rezultata, ali na kraju su sve sigurnosne ranjivosti loše za sve. Nažalost, pronalaženje grešaka može biti teško i dugotrajno. Dok programeri mogu provesti samo ograničenu količinu vremena testirajući bugove, druga grupa zajedno provodi puno više vremena koristeći aplikaciju - korisnici.
Korisnici sustava zajedno provode mnogo više vremena na sustavu nego što bi programeri tog sustava ikada mogli. Oni također koriste mnogo veći izbor uređaja. U kombinaciji, ovo čini savršeno okruženje za pronalaženje grešaka—mnogo očiju i rubnih slučajeva.
Stavljanje korisnika na posao
Tradicionalni način korištenja korisnika za rješavanje grešaka je imati neku funkciju izvješćivanja o pogrešci koja korisnicima omogućuje da prijave grešku na koju naiđu. Razvojni programeri mogu koristiti ove informacije za repliciranje, identificiranje i saniranje problema. Problem je u tome što postoji minimalan poticaj za korisnika da prijavi probleme. To je proces koji traje, ima potencijalne implikacije na privatnost i općenito ne rezultira nikakvim povratnim informacijama, čak i ako je problem riješen.
Sigurnosne ranjivosti još su gore. Zlonamjerni korisnik može odlučiti koristiti ranjivost koju pronađe aktivno. Ovisno o problemu, može biti moguće dobiti pristup nečemu vrijednom, bilo na crnom tržištu ili putem otkupnine ili ucjene. Alternativno, moguće je prodati znanje o ranjivosti na crnom tržištu. U svakom slučaju, korisnici nisu motivirani prijaviti bugove i destimulirani su prijaviti sigurnosne propuste.
Okretanje tablica
Sustav nagrada za bugove je način da se preokrene ploča kako bi se potaknulo aktivno prijavljivanje sigurnosnih problema. Metoda je jednostavna, nagrađivanje. Standardna metoda je plaćanje novčane nagrade i davanje javne potvrde za doprinos. Ovo izravno nagrađuje korisnike za prijavu sigurnosne ranjivosti i potiče ih da učine pravu stvar.
Sustavi nagrada za bugove obično su otvoreni svima. Svaki korisnik koji identificira sigurnosnu ranjivost može je prijaviti i biti plaćen. Ipak, postoje neka upozorenja. Da biste bili plaćeni, općenito morate biti prva osoba koja je prijavila problem, iako ponekad postoje rijetke iznimke u iznimnim okolnostima. Također morate slijediti pravila.
Pravila sustava nagrada za bugove pružaju opću zaštitu od pravnih postupaka ako ih se pridržavate. Često su detaljni, ali relativno jasni. Ne pristupajte tuđim podacima, ne koristite ranjivosti zlonamjerno i otkrivajte ih privatno i odgovorno. Možda postoje i neke stvari koje se smatraju zabranjenim.
Kakve su nagrade?
Realno, nagrade se temelje na dobroj volji. Postoji i element "ako je ovo uzrokovalo povredu podataka, morali bismo platiti mnogo veću kaznu." Općenito, tvrtka plaća relativno nizak iznos za nju. To, međutim, može biti dosta za reportera. Neki se bugovi mogu platiti za manje od sto dolara. Međutim, u ekstremnim slučajevima, neke su tvrtke platile sto tisuća dolara za ozbiljne ranjivosti. Naravno, većina nagrada puno je niža od toga.
Povijesno gledano, nagrade za bugove bile su puno niže i ponekad više od jednostavnog zahvaljivanja. Na primjer, slanje besplatne majice ili pružanje besplatne doživotne pretplate na uslugu. Ipak, velike tehnološke tvrtke potaknule su tržište, kao i dolazak platformi za dodjelu grešaka. Bug bounty platforme su web stranice koje ugošćuju bug bounty programe mnogih klijenata. Grupiraju sve na jednom mjestu. Ovo znatno olakšava manjoj organizaciji pokretanje sustava nagrada za bugove. Jedan od načina na koji to čini jednostavno je standardiziranje procesa.
Naravno, nagrada u bug bounty-u mnogo je manja nego što bi se mogla postići prodajom buga na crnom tržištu. Koncept vjeruje da općenito većina ljudi želi učiniti pravu stvar. Ili barem ne žele da ih ponovno proganja rizik od kršenja zakona.
Zaključak
Bug bounty sustav je plaćanja nagrade za pronalaženje i odgovorno otkrivanje sigurnosne ranjivosti. Aktivno potiče korisnike na testiranje i poboljšanje sigurnosti proizvoda. Donosi mnogo novih očiju u proces testiranja, a sve uz minimalne troškove za tvrtku. Naravno, kao netko tko sudjeluje u sustavu dodjele nagrada za bugove, ključno je biti oprezan i razumjeti pravila.
Hakiranje je ilegalno; bug bounty program dopušta testiranje nekih stvari, ali obično uključuje ograničenja. Ako se ne pridržavate pravila, možete biti kazneno odgovorni. Ako slijedite pravila, pronađete i prijavite grešku, mogli biste dobiti lijepu isplatu i povećati sigurnost za sebe i druge korisnike.
Imate problema s greškom Microsoft Edge 404 Not Found? Otkrijte provjerena, detaljna rješenja kako biste je brzo riješili. Izbrišite predmemoriju, resetirajte postavke i još mnogo toga za besprijekorno pregledavanje. Ažurirano s najnovijim savjetima!
Imate problema s greškom "Pristup odbijen u pregledniku Microsoft Edge 15"? Otkrijte detaljna rješenja kako biste je brzo riješili. Izbrišite predmemoriju, resetirajte postavke i još mnogo toga za besprijekorno pregledavanje. Ažurirano s najnovijim rješenjima!
Imate problema s ERR_SSL_PROTOCOL_ERROR u Microsoft Edgeu? Otkrijte provjerena rješenja za pogreške SSL protokola, od brisanja predmemorije do naprednih podešavanja. Brzo vratite sigurno pregledavanje!
Umorni ste od Microsoft Edge 403 Forbidden koji blokira vaše web-lokacije? Slijedite naš detaljni vodič kako biste brzo ispravili pogrešku 403 u Edgeu - bez potrebnih tehničkih vještina. Izbrišite predmemoriju, resetirajte postavke i odmah ponovno ostvarite pristup!
Umorni ste od nametljivih skočnih prozora za kupovinu i kupona u Microsoft Edgeu? Slijedite naš vodič korak po korak kako biste ih trajno onemogućili. Vratite kontrolu i pregledavajte bez ometanja u najnovijoj verziji Edgea!
Imate problema s vezom zbog pogreške 0x80072efe u pregledniku Microsoft Edge? Otkrijte provjerena rješenja za brzo rješavanje ove frustrirajuće pogreške. Detaljan vodič za besprijekorno pregledavanje u najnovijim ažuriranjima preglednika Edge. Obnovite vezu već danas!
Imate problema s kodom pogreške Microsoft Edgea SBOX_FATAL_MEMORY_EXCEEDED? Otkrijte provjerena detaljna rješenja za vraćanje glatkog pregledavanja. Izbrišite predmemoriju, ažurirajte Edge i još mnogo toga - nisu potrebne tehničke vještine!
Nailazite na frustrirajuću pogrešku postavki klasične ljuske programa Microsoft Edge? Otkrijte provjerena, detaljna rješenja za brzo ispravljanje pogreške postavki klasične ljuske programa Microsoft Edge i vraćanje besprijekornog pregledavanja. Uključena su najnovija rješenja!
Umorni ste od frustrirajuće pogreške mapiranja pogona u Microsoft Edgeu putem WebDAV-a? Slijedite naša provjerena, detaljna rješenja kako biste besprijekorno mapirali svoje pogone. Stručni savjeti za korisnike sustava Windows u najnovijim ažuriranjima.
Imate problema s pogreškom 514 u instalacijskom programu Microsoft Edge? Otkrijte detaljna rješenja kako biste brzo riješili ovaj frustrirajući problem. Pokrenite kao administrator, skenirajte SFC i još mnogo toga za besprijekornu instalaciju. Ažurirano s najnovijim savjetima!
