Що таке баунті?

Зважаючи на те, наскільки складне програмне забезпечення, важко переконатися у відсутності помилок. Це просто спосіб речей, які розроблені людиною та дуже складні. Щоб мінімізувати цю проблему, компанії-розробники програмного забезпечення включають перевірку коду в свій життєвий цикл розробки програмного забезпечення. Але навіть ретельний експертний огляд не може вловити все. Обмеження в реальному часі та бюджетні обмеження посилюють це. Через це помилки потрапляють у виробничі системи. Деякі помилки мають незначний ефект або взагалі не впливають, але інші можуть створювати неприємні вразливості безпеки.

Вразливість безпеки – це клас помилок, які певним чином впливають на безпеку системи. Існує широкий спектр можливих результатів, але врешті-решт усі вразливості безпеки шкідливі для всіх. На жаль, пошук помилок може бути складним і трудомістким. У той час як розробники можуть витрачати лише обмежену кількість часу на перевірку помилок, інша група разом витрачає набагато більше часу на використання програми — користувачі.

Користувачі системи разом витрачають на систему набагато більше часу, ніж будь-коли могли розробники цієї системи. Вони також використовують набагато більше різноманітних пристроїв. У сукупності це створює ідеальне середовище для пошуку помилок — багато очей і крайніх випадків.

Залучення користувачів до роботи

Традиційний спосіб використання користувачів для вирішення помилок полягає в наявності певної функції звіту про помилки, яка дозволяє користувачам повідомляти про помилку, з якою вони стикаються. Розробники можуть використовувати цю інформацію для повторення, виявлення та усунення проблеми. Проблема полягає в тому, що у користувача є мінімальний стимул повідомляти про будь-які проблеми. Це процес, який вимагає часу, потенційно впливає на конфіденційність і, як правило, не призводить до жодних відгуків, навіть якщо проблему вирішено.

Вразливості безпеки ще гірші. Зловмисник може використовувати вразливість, яку він активно знаходить. Залежно від проблеми можливо отримати доступ до чогось цінного або на чорному ринку, або через викуп чи шантаж. Крім того, можна продати знання про вразливість на чорному ринку. У будь-якому випадку користувачі не мають стимулів повідомляти про помилки та вразливі місця безпеки.

Перевертаючи таблиці

Система винагород за помилки – це спосіб змінити ситуацію, щоб заохотити активно повідомляти про проблеми безпеки. Метод простий, винагорода. Стандартним методом є виплата грошової винагороди та публічне визнання внеску. Це безпосередньо винагороджує користувачів за повідомлення про вразливість системи безпеки та заохочує їх діяти правильно.

Системи винагород за помилки зазвичай відкриті для всіх. Будь-який користувач, який виявить вразливість системи безпеки, може повідомити про це та отримати гроші. Однак є деякі застереження. Щоб отримати виплату, зазвичай ви повинні бути першою особою, яка повідомить про проблему, хоча іноді трапляються рідкісні винятки за виняткових обставин. Ви також повинні дотримуватися правил.

Правила системи винагороди за помилки забезпечують загальний захист від судових позовів, якщо ви їх дотримуєтесь. Вони часто детальні, але відносно зрозумілі. Не отримуйте доступ до чужих даних, не використовуйте вразливі місця зловмисно та розголошуйте їх приватно та відповідально. Також можуть бути деякі речі, які вважаються забороненими.

Які нагороди?

Реально, винагорода базується на доброму бажанні. Також є елемент «якщо це спричинило порушення даних, нам доведеться заплатити набагато більший штраф». Як правило, компанія платить за це відносно невелику суму. Однак це може бути чимало для репортера. За деякі помилки можна заплатити менше ста доларів. Однак у крайніх випадках деякі компанії платили сто тисяч доларів за серйозні вразливості. Звичайно, більшість винагород набагато нижчі за це.

Історично винагороди за помилки були набагато нижчими, а іноді нагадували просту подяку. Наприклад, розсилання безкоштовної футболки або безкоштовна довічна підписка на послугу. Великі технологічні компанії підвищили ринок, як і поява платформ для винагород за помилки. Платформи винагород за помилки – це веб-сайти, на яких розміщуються програми винагород за помилки багатьох клієнтів. Вони групують все в одному місці. Це значно полегшує меншим організаціям запуск системи винагород за помилки. Одним із способів це зробити є проста стандартизація процесу.

Звичайно, винагорода за винагороду за помилку набагато менша, ніж можна було б отримати, продавши помилку на чорному ринку. Концепція вірить, що, як правило, більшість людей хочуть робити правильні речі. Або принаймні вони не хочуть, щоб ризик порушення закону знову переслідував їх.

Висновок

Баунті за помилку — це система виплати винагороди за виявлення та відповідальне розкриття вразливості системи безпеки. Він активно заохочує користувачів тестувати та покращувати безпеку продуктів. Це дає багато нових поглядів на процес тестування за мінімальних витрат для компанії. Звичайно, тому, хто бере участь у системі винагород за помилки, важливо бути обережним і розуміти правила.

Злом незаконний; програма винагороди за помилки дозволяє тестувати деякі речі, але зазвичай містить обмеження. Якщо ви не дотримуєтесь правил, вас можуть притягнути до кримінальної відповідальності. Якщо ви дотримуєтеся правил, знайдете та повідомите про помилку, ви можете отримати гарну винагороду та підвищити безпеку для себе та інших користувачів.