Így jutalmazhatja a biztonsági kutatókat

Egy új keretrendszer vált elérhetővé, amely a biztonsági rések után kutató szakembereknek és az őket jutalmazó cégeknek jelenthet segítséget.
 

Az elmúlt években egyre elterjedtebbé vált, hogy az informatikai, szolgáltató és fejlesztő cégek jutalmazzák azokat a szakembereket, akik első kézből jeleznek különféle sebezhetőségeket. E vállalatok közé tartozik egyebek mellett a Google, a Facebook, a PayPal, a Mozilla és a Microsoft is. Mindegyik szervezetnek van egy-egy szabályzata arra vonatkozóan, hogy a feltárt sérülékenységeket milyen módon kell bejelenteni, és azok veszélyességének függvényében mekkora összegű jutalom jár az információk átadásáért. Azonban a mindennapokban néha-néha felmerülnek jogi és egyéb problémák is a jutalmazási programok kapcsán. E nehézségek leküzdését tűzte ki célul a Bugcrowd, amikor elkészítette azt a keretrendszerét, amely kifejezetten a jutalmazási programok bevezetését, szabályozását segíti elő. 

Az Open Source Responsible Disclosure Framework kialakításában a CipherLaw cég is részt vett annak érdekében, hogy a jogi problémákat is megnyugtató módon lehessen rendezni. Erre azért van szükség, mert nem minden esetben könnyű megmondani azt, hogy a biztonsági rések keresése során meddig mehet el egy kutató vagy etikus hacker, és mi az, amit még jogszerűen megtehet. 

"A biztonsági sérülékenységek a legtöbb rendszert veszélyeztetik beleértve az egészségügyi eszközöket, a gépkocsikat és a személyes adatokat kezelő infrastruktúrákat is. Ezért szükséges annak biztosítása, hogy a megfelelő tudással és képességekkel rendelkező kutatók ne kedvetlenedjenek el a felfedezéseik jelentésétől a jogi kockázatok miatt.  Az új keretrendszer abban segíti a kutatókat, hogy nyugodtan folytathassák a fontos munkájukat" - nyilatkozta Jim Denaro, a CipherLaw szakértője. 

A keretrendszer azonban nem csupán a kutatók számára készült, hanem azon szervezetek is profitálhatnak belőle, amelyek vagy már bevezettek jutalmazási programokat, vagy a jövőben tervezik mindezt megtenni. Olyan útmutatásokat tartalmaz, amelyek révén megfelelő szabályok állíthatók fel, és hatékony kapcsolat építhető ki a biztonsági kutatók közösségével. 

A keretrendszer mindenki számára letölthető és szabadon használható.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség