万博manbetx体育app-万博manbetx会员注册

【万博体育app】由万博亚洲集团倾力打造的最全体育资讯,是目前国内最火爆,最信誉,最公平、高品质的体育资讯平台!欢迎您的加入,记得收藏本站网址,祝您玩的开心"

贵公司是否准备好迎接Bug赏金计划?

发布时间:2019-02-02 08:48:06编辑:万博manbetx体育app-万博manbetx会员注册浏览(493)评论览(84)

    黑客众包信息安全帮助的想法似乎是一种奇怪的接受做法,但很明显,bug赏金计划仍然存在。 Bug赏金已经成为许多安全计划的重要组成部分。致力于保护从客户和员工处收集的商业秘密和个人信息的公司已成功使用错误赏金计划来加强其安全工作。 为了定义错误赏金计划是什么,在其核心,赏金计划应该成为合法安全研究人员报告软件中可能被外部攻击者攻击的安全漏洞的动机。这些努力为研究人员提供了寻找错误的途径,而不必担心法律报复,并且在一天结束时,还会收取薪水。 对于那些看到其他企业公开宣传其项目成功的公司来说,诱惑就是首先潜入自己的企业。但这不是一条容易的道路。成功的错误赏金计划需要一定程度的成熟度,更不用说相当多的准备,工作和克制。 许多组织看到一个错误赏金程序,无论是一个自我管理的程序,还是通过商业平台提供的程序,都是一种经济有效地众包其漏洞识别过程的方法。它也可以是漏洞管理工具箱中的有用工具。但是过快地进入bug赏金计划存在一些陷阱,而且大多数组织还不够成熟或人员配备不足以抵御报告的漏洞泛滥。 许多公共赏金计划也在着名的公共关系和营销宣传中推出。如果你是一家足够大的公司,那么媒体就会编写和播客关于你的计划和行业领导者,你们正在向一个值得信赖的社区寻求帮助,以便在你的网络应用程序中发现错误。你最好准备好了。 在您知道准备好接受错误赏金计划之前,您需要了解五个里程碑: 1)知道这将如何结束你想要完成什么?公司出于各种原因运行私有漏洞赏金和公共程序,从明显增强漏洞管理程序或安全开发生命周期到为安全团队获得一些良好的宣传。从一开始就设定这些目标将塑造您的计划,从外部研究人员的测试范围到您最终提供的奖励。必须在计划目标上进行内部调整,否则你就会从一开始就注定失败。 2)公平游戏说到范围,这是至关重要的,从小做起可能是明智之举。许多程序以较窄的范围开始公共赏金计划,限制了赏金参与者的公平游戏,例如,不需要身份验证的面向公众的Web应用程序。为bug猎人清楚地列出目标,否则误解肯定会使参与者望而却步,损害你的计划的声誉,并让你完全羞于通过该计划实现的目标。 3)接收以便修复因为他们没有适当的机制来接收和分类错误报告,所以许多错误赏金程序绊倒了大门。这似乎是一个简单而明显的步骤,但它是最重要的一步。这是您的程序通向公众的门户,必须清晰可见并在您的网站上拼写错误搜索者。它可以像一个明显可见的安全@公司电子邮件地址或经过深思熟虑的提交表单一样简单。表明你也是安全的人;为参与者提供公共加密密钥,以通过电子邮件简化提交过程。 4)与我交谈金钱激励了猎人,这是真的。但大多数人都是通过做正确的事情以及确保互联网和电子商务安全来实现真正的动力。当提交发生时,建立一个机制来与赏金参与者沟通期望。拥有适当的资源来评估错误报告,确认错误是合法的,并向研究人员回复该错误在范围内且是唯一的,有资格获得奖励,并且它们将在x天数/周/月内支付。在这个阶段,许多与漏洞猎人的关系都会陷入瘫痪,沮丧情绪很快就会发展到研究人员可能决定披露漏洞的程度,或公开表达他们对该计划的挫败感,从而损害其可信度。 5)SDL很饿; Feed It:您必须准备好为您的安全开发生命周期提供错误报告和补救选项,否则,如果您不打算修复错误,那么首先找到错误的点是什么?内部工程和质量控制团队必须在船上接受培训,以便接收大量的错误报告,尤其是在开始时。做好应对冲击的准备,并了解评估唯一错误的重要性,并快速向提交者报告重复项。随着赏金计划的推出和报告的推出,对工程,质量保证和开发人员的压力将会很大。不要在没有框架的情况下继续接收和修复错误。否则,您将面临不仅无法满足您的计划目标的风险,而且在最糟糕的情况下,您还要承担支付不重要的错误的风险。 Bug赏金是漏洞管理程序的重要组成部分,绝不应包含整个过程。它们是对持续渗透测试活动的补充,绝不应该阻止组织继续和管理自己的漏洞评估。明确的目标应该是采取积极主动的安全和补救方法,合理的目标是消除各种类型的错误,而不是永久性地修复一次性(一劳永逸地消除这些跨站点脚本错误)。投资您的SDL和分类流程,确保您想要完成的任务,并从小规模开始并限制您的范围。您希望为研究人员创造激励机制以发现错误,并且通过良好的体验让他们回归并保证您的公司安全。