Program Bug Bounty sa v poslednom čase ukázal ako úspešný prostriedok na riešenie bezpečnostných otázok. Treba už len aplikovať princíp tohto projektu aj na základné internetové technológie.
Problém spočíval v tom, že ani jedna zo spoločností nemohla využívať vlastný Bug Bounty program. Namiesto toho, ho často spravovali a ďalej rozvíjali Open Source-tímy, ktoré nemajú takmer žiadne väčšie finančné prostriedky. Projekt má byť zameraný proti „Hackerone“.
Microsoft a Facebook prostredníctvom spoločného projektu ponúkajú odmenu za nájdenie bezpečnostných dier. Za hlásenie dôležitých chýb má byť zaplatená finančná odmena od 5000 dolárov a vyššie. Vzťahuje sa predbežne na OpenSSL, Pytho, Ruby, PHP, Django, Rails, Perl, Phabricator, Nginx a Apache Web Server, ktoré spolu tvoria podstatnú časť základov webu.
Rozdelenie odmien bude mať v kompetencii porota, zložená z rady expertov. Bezpečnostní experti sa musia držať rôznych princípov, ktoré sa týkajú zverejňovania bezpečnostných dier. Príslušným vývojovým tímom bude teda poskytnutý určitý čas na odstránenie problému, predtým než o ňom informujú verejnosť. Hackerone dáva vývojárom zvyčajne čas 30 dní až pol roka v závažných prípadoch. Medzi tým však chyby musia zostať v tajnosti a musí ich potvrdiť nezávislý expert.
Projektu sa môžu zúčastniť bezpečnostní experti z celého sveta. Vzhľadom na to, že Hackerone sídlia v USA, existujú určité výnimky pre vývojárov zo štátov, na ktoré platí obchodné embargo. Týka sa to najmä Kuby, Iránu, Severnej Kórei, Sudánu a Sýrie.
Zdroj: Winfuture.de
Pridať nový komentár