程序员看过来!众包安全与Bug赏金计划避坑指南

开发安全的软件是现代软件开发的一个关键因素。大约75%的程序员担心其应用程序的安全性,85%的程序员将安全性列为编码和开发过程中非常重要的因素。这就孕育了对 "安全设计 "的极大重视,也就是在创建软件时,产品中已经内置了安全性的概念。


程序员看过来!众包安全与Bug赏金计划避坑指南_金融商务_数智化


然而,当孤立地开发一个产品时,很难确定你的软件是否像你认为的那样安全。唯一可以确定的方法是将你的软件进行测试,看看它的测试效果如何。尽管如此,期望一个全职程序员有时间或专业知识来尝试黑掉自己的软件是不现实的。


很多人就会寻求雇佣专业人员的帮助。虽然这对大多数人来说是一个受欢迎的选择,但要找到合适的人做这件事可能非常昂贵和耗时,而且即使这样你也不能保证找到什么麻烦。现代的解决方案是使用bug赏金计划。


赏金计划是一种有组织的服务,公司可以让自由黑客测试他们的网站或应用程序的漏洞。作为发现产品漏洞的回报,他们会得到金钱补偿或平台上的积分,从而提高他们的排名。


一些使用bug赏金计划的大公司包括Facebook、谷歌、惠普、任天堂和PayPal。


Bug赏金是一个很好的方式,可以让多个安全专家对你的软件的安全性进行测试。此外,您只需在发现您感兴趣的东西时支付费用,并且您可以轻松地调整您支付的金额以反映您的预算。


在本文中,小编将概述这些程序的工作原理,为什么它们对您有好处,以及如何开始对软件进行审查。


    错误赏金计划的优势  


错误赏金计划是一种获取软件安全性反馈的经济有效的方法。选择符合您的安全需求的赏金计划有一些好处。


    您有很多意见  


漏洞赏金计划的最大好处是,您可以让许多人看着您的产品。每个人都有不同的方法和技能。您尝试破坏软件的人越多,您就会找到更多。发现的内容越多,一旦修复了这些薄弱点,您的软件就会越强大。


    您只为所获得的付出  


与必须预先确定价格的前期渗透测试不同,漏洞赏金只需要您在发现新漏洞后就付款—重复提交不会获得付款。这意味着您的投资回报率要好得多,并且随着投稿的进行,如果您支付的钱超过了您的期望,则可以随时停止。


某些平台还允许您发布产品进行测试,而无需支付任何费用。作为回报,对于发现的任何漏洞,都将提供积分,以提高用户在平台上的排名。这有助于他们在其他研究人员中脱颖而出,并为自己赢得更多业务。


如果您的产品与非营利组织或慈善事业有任何关系,则此方法效果很好。如果您没有很多钱可花,但也要警告您,通常您会得到所需要的,这也可以作为一种选择。


    您可以获得质量反馈和行动计划  


一旦发现漏洞,研究人员将负责提供其发现的报告以及有关如何修复该漏洞的建议。这意味着您可以花费更少的时间研究安全性概念并尝试学习完全不同的行业,并且可以正确地修复软件中的任何错误。


此外,如果您想进行自我教育,则可以保留这些报告并从中学习,以免最终在软件中犯同样的错误。


    错误赏金计划的类型  


错误赏金计划分为两类,各有优缺点。最适合您的选项将取决于您可用的资源和正在开发的软件的类型。在这里,我将分解两者之间的差异。


    公共漏洞赏金  


通过漏洞赏金实现众包安全公共漏洞赏金计划已发布在在线论坛上,并向公众开放以进行测试。此类计划的开销最少,因为您不必寻找和招募特定的研究人员。


由于有访问该程序的人数众多,公共Bug赏金计划还会为您提供最多的反馈。此选项也更具成本效益;但是,不利的一面是您不太可能拥有深厚的技术专家,因为他们中的大多数人都很受追捧,并且大多从事私人赏金计划。


此外,您将对产品有很多关注。如果您想让您的产品不受公众欢迎,这可能对您来说是个问题。总体而言,对于大多数程序员而言,公共赏金计划将是最佳选择,因为它具有便利性,成本效益以及对大多数软件而言保密性不是很大的事实。


    私人漏洞赏金  


私人漏洞赏金计划是仅邀请的程序,由选定的一组研究人员执行。尽管他们总体上人数较少,但由于只有顶尖的研究人员倾向于被邀请参加这些计划,因此技术专长可能会更高。


但是,更高的专业知识通常意味着更高的薪水,因此这些程序可能会更昂贵。他们还具有较高的开销,因为查找和招募精选的研究人员需要时间和资源。


如果您要处理的是高度敏感或专有的软件,则这里的好处是专业知识更多,公众视野更少。私有程序对于拥有更多资源或对安全性和隐私具有比通常更高的兴趣的程序员是更好的选择。


    流行的漏洞赏金平台  


有许多不同的平台提供漏洞赏金计划,但其中一些平台的建立要比其他平台建立得多。必须根据高参与度,易于使用的界面以及良好的历史等因素来选择平台。这两个平台在这三个领域都是行业领导者,在行业中享有盛誉。


BugCrowd: Bugcrowd成立于2011年,是最大的Bug赏金平台之一。它是该领域的领导者之一,并为一些大型公司(如HP,Indeed和Motorola)主持了漏洞赏金计划。


HackerOne: HackerOne可以说是Bug赏金计划的最大平台,可与BugCrowd匹敌。使用HackerOne的一些著名公司包括星巴克,任天堂,PayPal和高盛。


在这一点上,您可能想知道要遵循的确切步骤,或者从实际的角度来看赏金的工作方式。让我们仔细看看。


    Bug赏金如何运作?  


具体的步骤会因平台而异,但这是创建漏洞赏金计划的常规步骤。


为了参与漏洞赏金计划,您需要具有要测试的软件元素。这可以是您托管的网站,桌面或移动应用程序,甚至可以是GitHub上的源代码。识别需要测试的内容是第一步。


确定要测试的内容后,即可创建要测试的轮廓。这包括您对哪种类型的漏洞感兴趣,哪些区域不适合测试,以及您打算运行多长时间。您还必须确定您愿意支付的价格范围。给您尽可能多的指导,以便人们可以在您最关心的方面进行工作。


定义测试范围后,您可以按照所选平台上的说明创建发布。设置完成后,人们将可以开始测试并将发现的结果发送给您。


您有责任注意提交的内容,然后接受或拒绝,并相应地付款。支付应该公平,以使人们参与并奖励他们的辛勤工作。您还应该更新您的帖子,以使人们知道已经发现了哪些错误,以使人们不会重复他人的工作。这浪费了他们的时间,也浪费了您的时间。


通过漏洞赏金实现众包安全作为开发人员,能够主动发现软件中的错误,甚至避免首先创建它们,这是一项宝贵的技能。如果您想了解有关如何完成漏洞赏金的更多信息,或者想开始使用它们,可以参考以下资源。


Bug赏金狩猎要点:本书旨在作为快速指南,帮助白帽黑客通过Bug赏金计划。它教授实用的应用程序安全性和技能,以及执行错误赏金的技术。


Web安全漏洞赏金猎人: 这本书着重于发现和利用网站和应用程序中的漏洞。如果您是Web应用程序开发人员,并且对学习如何在软件或其他软件中查找错误感兴趣,那么这本书非常适合您。


    为什么要使用漏洞赏金来保护您的软件?  


错误赏金为软件开发人员提供了一种以低成本测试其应用程序安全性的好方法。设置非常容易,不需要开发人员任何深入的安全知识。


Bug赏金使您可以与安全专家联系,他们将引导您了解错误的原因和解决方法,这将使您的生活更加轻松。它已经被Facebook,Google,Nintendo等大型公司实践了多年,并且是获得有关软件安全性的公正反馈的最佳方法之一。

41
85
0
18

相关资讯

  1. 1、市场分析:2019年光伏行业充满不确定性1274
  2. 2、乌鲁木齐签约16个重点项目,新松机器人拟20亿元建设产业园3915
  3. 3、Maxim低噪声放大器MAX2180的特性及应用范围4241
  4. 4、气动电磁阀的功能及工作原理3127
  5. 5、2019运控高峰论坛分会场——回归市场本真652
  6. 6、音频放大器LM4941/85的特色、优点及应用范围1165
  7. 7、华为国行版P40正式发布,供应链仍有美商痕迹4804
  8. 8、关于Linux系统如何挂载数据盘?2107
  9. 9、6系列FPGA中使用块RAM的心得(4)4450
  10. 10、PLC有哪些现场总线类型?4647
全部评论(0)
我也有话说
0
收藏
点赞
顶部