SK

Facebook & Microsoft vytvoria spoločný Bug Bounty program

Program Bug Bounty sa v poslednom čase ukázal ako úspešný prostriedok na riešenie bezpečnostných otázok. Treba už len aplikovať princíp tohto projektu aj na základné internetové technológie.

Problém spočíval v tom, že ani jedna zo spoločností nemohla využívať vlastný Bug Bounty program. Namiesto toho, ho často spravovali a ďalej rozvíjali Open Source-tímy, ktoré nemajú takmer žiadne väčšie finančné prostriedky. Projekt má byť zameraný proti „Hackerone“.

Microsoft a Facebook  prostredníctvom spoločného projektu ponúkajú  odmenu za nájdenie bezpečnostných dier. Za hlásenie dôležitých chýb má byť zaplatená finančná odmena od 5000 dolárov a vyššie.  Vzťahuje sa predbežne na OpenSSL, Pytho, Ruby, PHP, Django, Rails, Perl, Phabricator, Nginx a Apache Web Server, ktoré spolu tvoria podstatnú časť základov webu.

Rozdelenie odmien bude mať v kompetencii porota, zložená z rady expertov. Bezpečnostní experti sa musia držať rôznych princípov, ktoré sa týkajú zverejňovania bezpečnostných dier. Príslušným vývojovým tímom bude teda poskytnutý určitý čas na odstránenie problému, predtým než o ňom informujú verejnosť.  Hackerone dáva vývojárom zvyčajne čas 30 dní až pol roka v závažných prípadoch. Medzi tým však chyby musia zostať v tajnosti a musí ich potvrdiť nezávislý expert.

Projektu sa môžu zúčastniť bezpečnostní experti z celého sveta. Vzhľadom na to, že Hackerone sídlia v USA, existujú určité výnimky pre vývojárov zo štátov, na ktoré platí  obchodné embargo. Týka sa to najmä Kuby, Iránu, Severnej Kórei, Sudánu a Sýrie.

Zdroj: Winfuture.de

Add new comment
TOPlist