Med hvor kompleks programvare er, er det utfordrende å sikre at det ikke er noen feil. Dette er rett og slett måten ting er menneskeskapte og svært komplekse. For å minimere problemet inkluderer programvareutviklingsselskaper kodeanmeldelser i livssyklusen for programvareutvikling. Men selv en nøye ekspertvurdering kan ikke fange opp alt. Selve sanntids- og budsjettbegrensningene forverrer dette. På grunn av dette kommer bugs til produksjonssystemer. Noen feil har liten eller ingen effekt, men andre kan introdusere ekle sikkerhetssårbarheter.
En sikkerhetssårbarhet er en klasse av feil som påvirker systemets sikkerhet på en eller annen måte. Det er et bredt spekter av mulige resultater, men til syvende og sist er alle sikkerhetssårbarheter dårlige for alle. Dessverre kan det være vanskelig og tidkrevende å finne feil. Mens utviklere bare kan bruke en begrenset mengde tid på å teste for feil, bruker en annen gruppe sammen mye mer tid på å bruke applikasjonen – brukerne.
Brukere av et system, til sammen, bruker enormt mye mer tid på et system enn utviklerne av det systemet noen gang kunne. De bruker også et mye bredere utvalg av enheter. Kombinert gjør dette det perfekte miljøet for å finne feil – mange øyne og kantene.
Sette brukerne i arbeid
Den tradisjonelle måten å bruke brukere til å løse feil er å ha en feilrapporteringsfunksjon som lar brukere rapportere en feil de støter på. Utviklerne kan bruke denne informasjonen til å replikere, identifisere og rette opp problemet. Problemet er at det er et minimalt insentiv for brukeren til å rapportere eventuelle problemer. Det er en prosess som tar tid, har potensielle personvernimplikasjoner, og vanligvis ikke resulterer i noen tilbakemelding, selv om problemet er løst.
Sikkerhetssårbarheter er enda verre. En ondsinnet bruker kan velge å bruke en sårbarhet de finner aktivt. Avhengig av problemstillingen kan det være mulig å få tilgang til noe verdifullt, enten på det svarte markedet eller gjennom løsepenger eller utpressing. Alternativt er det mulig å selge kunnskap om sårbarheten på det svarte markedet. Uansett er brukere ikke motivert til å rapportere feil, og de blir ikke motivert til å rapportere sikkerhetssårbarheter.
Snu på bordet
Et bug bounty-system er en måte å snu tabellen på for å oppmuntre til aktiv rapportering av sikkerhetsproblemer. Metoden er enkel, og belønner dem. Standardmetoden er å betale en pengepremie og å gi offentlig anerkjennelse av bidraget. Dette belønner brukere direkte for å rapportere et sikkerhetssårbarhet og oppmuntrer dem til å gjøre det rette.
Bug bounty-systemer er vanligvis åpne for alle. Enhver bruker som identifiserer et sikkerhetssårbarhet kan rapportere det og få betalt. Det er imidlertid noen forbehold. For å bli betalt, må du vanligvis være den første personen som rapporterer et problem, selv om det noen ganger er sjeldne unntak i eksepsjonelle omstendigheter. Du må også følge reglene.
Reglene for et bug-bounty-system gir generell beskyttelse mot rettslige skritt hvis du holder deg innenfor dem. De er ofte detaljerte, men relativt enkle. Ikke få tilgang til andres data, ikke bruk sårbarheter med ondsinnethet, og avslør dem privat og ansvarlig. Det kan også være noen ting som anses som forbudt.
Hvordan er belønningene?
Realistisk sett er belønningene basert på goodwill. Det er også et element av "hvis dette forårsaket et datainnbrudd, ville vi måtte betale en mye større bot." Generelt betaler selskapet det som er et relativt lavt beløp for det. Dette kan imidlertid være ganske mye for reporteren. Noen feil kan bli betalt for mindre enn hundre dollar. I ekstreme tilfeller har noen selskaper imidlertid betalt hundre tusen dollar for alvorlige sårbarheter. Selvfølgelig er de fleste dusørene mye lavere enn det.
Historisk sett har bug-bounties vært mye lavere og noen ganger mer en enkel takk. Sende ut en gratis t-skjorte eller gi et gratis livstidsabonnement på tjenesten, for eksempel. Store teknologiselskaper har imidlertid styrket markedet, og det samme har ankomsten av bug bounty-plattformer. Bug bounty-plattformer er nettsteder som er vert for bug-bounty-programmene til mange klienter. De samler alt på ett sted. Dette gjør det mye enklere for en mindre organisasjon å kjøre et bug bounty-system. En av måtene det gjør dette på er ganske enkelt ved å standardisere prosessen.
Selvfølgelig er belønningen i en bug-bounty mye mindre enn man kan oppnå ved å selge feilen på det svarte markedet. Konseptet stoler på at de fleste generelt ønsker å gjøre det rette. Eller i det minste vil de ikke at risikoen for å bryte loven skal hjemsøke dem igjen.
Konklusjon
En bug bounty er et system for å betale en belønning for å finne og ansvarlig avsløre en sikkerhetssårbarhet. Den oppfordrer aktivt brukere til å teste og forbedre sikkerheten til produktene. Det bringer mange nye øyne til testprosessen, alt til minimal kostnad for selskapet. Selvfølgelig, som noen som deltar i et bug-bounty-system, er det viktig å være forsiktig og forstå reglene.
Hacking er ulovlig; bug bounty-programmet tillater testing av noen ting, men inkluderer vanligvis begrensninger. Hvis du ikke følger reglene, kan du bli strafferettslig ansvarlig. Hvis du følger reglene, finner og rapporterer en feil, kan du få en god utbetaling og øke sikkerheten for deg selv og andre brukere.
Lei av at synkroniseringskonflikt med flere profiler i Microsoft Edge ødelegger nettlesingen din? Oppdag trinnvise løsninger for å løse synkroniseringsfeil, slå sammen profiler og synkronisere sømløst på tvers av enheter. Fungerer på de nyeste Edge-versjonene!
Lei av at Microsoft Edge Sync Pause-kontofeilen forstyrrer nettlesingen din? Oppdag raske og effektive feilsøkingstrinn for å gjenopprette sømløs synkronisering på tvers av enheter. Oppdatert med de nyeste rettelsene for en problemfri Edge-opplevelse.
Få bukt med den frustrerende feilen «Ukjent plate» for bakoverkompatible spill på Xbox Series X|S. Følg våre velprøvde trinnvise løsninger for å gjenopprette det klassiske spillbiblioteket ditt umiddelbart.
Sliter du med tilbakestillingsfeilen for PIN i Microsoft Edge i Windows Hello? Oppdag trinnvise løsninger for å løse det raskt. Få tilgang til nettleseren din igjen uten frustrasjon – oppdatert for de nyeste Windows-oppdateringene.
Sliter du med blank, hvit skjerm i Microsoft Edge ved oppstart? Oppdag trinnvise løsninger for problemet med blank, hvit skjerm i Edge, fra raske tilbakestillinger til avanserte reparasjoner. Kom tilbake til nettlesing uten problemer!
Steg-for-steg-veiledning for hvordan du sikkerhetskopierer Microsoft Edge-data som bokmerker, passord, historikk og innstillinger før en systemtilbakestilling. Beskytt nettleserens viktige elementer med enkle og pålitelige metoder.
Sitter du fast med feilen «Microsoft Edge Capture Card No Signal 60FPS»? Oppdag velprøvde løsninger for å gjenopprette signalet, oppnå 60 FPS jevnt og strømme uten forsinkelser. Steg-for-steg-veiledning for umiddelbare resultater!
Lei av den frustrerende konfigurasjonsfeilen i Microsoft Edge Side-by-Side? Oppdag enkle, trinnvise løsninger for å løse den raskt og gjenopprette problemfri nettlesing. Oppdatert med de nyeste løsningene!
Sitter du fast med Microsoft Edge Installer-feil 124? Få trinnvise løsninger for å løse installasjonsfeil raskt. Velprøvde løsninger for problemfri Edge-oppsett på Windows. Ingen tekniske ferdigheter kreves!
Lei av at Microsoft Edge Installer-feil 124 blokkerer Windows 11-oppsettet ditt? Følg våre velprøvde, enkle løsninger for å løse det raskt og gjenopprette problemfri nettlesing. Ingen teknisk ekspertise nødvendig!
