Kas yra „Bug Bounty“?

Kadangi programinė įranga yra sudėtinga, sunku užtikrinti, kad nebūtų klaidų. Tai tiesiog žmogaus sukurtas ir labai sudėtingas dalykų būdas. Siekdamos sumažinti problemą, programinės įrangos kūrimo įmonės į savo programinės įrangos kūrimo gyvavimo ciklą įtraukia kodo peržiūras. Tačiau net kruopšti ekspertų apžvalga negali sugauti visko. Tai dar labiau apsunkina realaus laiko ir biudžeto apribojimai. Dėl šios priežasties klaidos patenka į gamybos sistemas. Kai kurios klaidos turi nedidelį poveikį arba neturi jokio poveikio, tačiau kitos gali sukelti bjaurių saugumo spragų.

Saugos pažeidžiamumas yra klaidų klasė, kuri tam tikru būdu paveikia sistemos saugumą. Galimi įvairūs rezultatai, tačiau galiausiai visos saugumo spragos kenkia visiems. Deja, klaidų paieška gali būti sudėtinga ir užima daug laiko. Nors kūrėjai gali skirti tik ribotą laiką tikrindami klaidas, kita grupė kartu praleidžia daug daugiau laiko naudodamiesi programa – vartotojai.

Sistemos vartotojai kartu praleidžia daug daugiau laiko prie sistemos, nei tos sistemos kūrėjai kada nors galėtų. Jie taip pat naudoja daug įvairesnių įrenginių. Kartu tai yra puiki aplinka ieškant klaidų – daugybė akių ir kraštinių atvejų.

Vartotojų įtraukimas į darbą

Tradicinis būdas naudoti vartotojus klaidoms išspręsti yra turėti tam tikrą pranešimo apie klaidas funkciją, kuri leidžia vartotojams pranešti apie jiems iškilusias klaidas. Kūrėjai gali naudoti šią informaciją norėdami pakartoti, nustatyti ir išspręsti problemą. Problema ta, kad vartotojas turi minimalią paskatą pranešti apie bet kokias problemas. Tai procesas, kuris užtrunka, gali turėti įtakos privatumui ir paprastai neduoda jokių atsiliepimų, net jei problema išspręsta.

Saugumo pažeidžiamumas yra dar blogesnis. Piktybiškas vartotojas gali pasirinkti aktyviai naudoti aptiktą pažeidžiamumą. Priklausomai nuo problemos, gali būti įmanoma gauti prieigą prie kažko vertingo juodojoje rinkoje arba per išpirką ar šantažą. Arba galima parduoti žinias apie pažeidžiamumą juodojoje rinkoje. Bet kuriuo atveju vartotojai nėra skatinami pranešti apie klaidas ir neskatinami pranešti apie saugumo spragas.

Lentelių pavertimas

Klaidų atlygio sistema yra būdas pakeisti lenteles ir paskatinti aktyviai pranešti apie saugumo problemas. Metodas paprastas, juos apdovanojantis. Standartinis būdas yra sumokėti piniginę premiją ir viešai patvirtinti įnašą. Tai tiesiogiai atlygina naudotojams už pranešimą apie saugos pažeidžiamumą ir skatina juos elgtis teisingai.

Bug Bounty sistemos paprastai yra atviros visiems. Bet kuris vartotojas, kuris nustato saugos pažeidžiamumą, gali apie tai pranešti ir gauti užmokestį. Tačiau yra keletas įspėjimų. Norėdami gauti mokėjimą, paprastai turite būti pirmasis asmuo, kuris praneša apie problemą, nors kartais pasitaiko retų išimčių išskirtinėmis aplinkybėmis. Taip pat turite laikytis taisyklių.

Klaidų atlygio sistemos taisyklės suteikia visišką apsaugą nuo teisinių veiksmų, jei nesilaikysite jų. Jie dažnai yra išsamūs, bet gana paprasti. Nesiekite prie kitų žmonių duomenų, nenaudokite pažeidžiamumų piktybiškai ir atskleiskite juos privačiai bei atsakingai. Taip pat gali būti kai kurių dalykų, kurie laikomi neribotais.

Kokie yra apdovanojimai?

Tiesą sakant, atlygis grindžiamas geranoriškumu. Taip pat yra elementas „jei tai sukėlė duomenų pažeidimą, turėtume sumokėti daug didesnę baudą“. Paprastai įmonė už ją moka palyginti mažą sumą. Tačiau tai gali būti gana daug žurnalistui. Už kai kurias klaidas galima sumokėti mažiau nei šimtą dolerių. Tačiau kraštutiniais atvejais kai kurios įmonės už rimtus pažeidžiamumus sumokėjo šimtą tūkstančių dolerių. Žinoma, dauguma premijų yra daug mažesnės.

Istoriškai kompensacijos už klaidas buvo daug mažesnės, o kartais daugiau – paprasta padėka. Pavyzdžiui, nemokamų marškinėlių išsiuntimas arba nemokama paslaugos prenumerata visam gyvenimui. Tačiau didelės technologijų įmonės padidino rinką, kaip ir klaidų platinimo platformų atsiradimas. „Bug Bounty“ platformos yra svetainės, kuriose yra daugelio klientų klaidų kompensavimo programos. Jie viską sugrupuoja į vieną vietą. Dėl to mažesnei organizacijai daug lengviau valdyti klaidų sistemą. Vienas iš būdų, kaip tai padaryti, yra tiesiog standartizuoti procesą.

Žinoma, atlygis už klaidą yra daug mažesnis, nei būtų galima gauti parduodant klaidą juodojoje rinkoje. Koncepcija tikrai pasitiki, kad paprastai dauguma žmonių nori elgtis teisingai. Arba bent jau jie nenori, kad grėstų pavojus pažeisti įstatymus.

Išvada

Klaidų dovanos – tai atlygio mokėjimo už saugumo spragų radimą ir atsakingą atskleidimą sistema. Ji aktyviai skatina vartotojus išbandyti ir pagerinti produktų saugumą. Tai suteikia daug naujų žvilgsnių į testavimo procesą ir visa tai už minimalias įmonės išlaidas. Žinoma, kaip kas nors dalyvaujantis klaidų kompensavimo sistemoje, labai svarbu būti atsargiam ir suprasti taisykles.

Įsilaužimas yra neteisėtas; „Bug Bounty“ programa leidžia išbandyti kai kuriuos dalykus, bet paprastai apima apribojimus. Jei nesilaikysite taisyklių, jums gali būti taikoma baudžiamoji atsakomybė. Jei laikysitės taisyklių, surasite ir pranešite apie klaidą, galite gauti gražią išmoką ir padidinti savo bei kitų vartotojų saugumą.