Így jutalmazhatja a biztonsági kutatókat
Egy új keretrendszer vált elérhetővé, amely a biztonsági rések után kutató szakembereknek és az őket jutalmazó cégeknek jelenthet segítséget.Az elmúlt években egyre elterjedtebbé vált, hogy az informatikai, szolgáltató és fejlesztő cégek jutalmazzák azokat a szakembereket, akik első kézből jeleznek különféle sebezhetőségeket. E vállalatok közé tartozik egyebek mellett a Google, a Facebook, a PayPal, a Mozilla és a Microsoft is. Mindegyik szervezetnek van egy-egy szabályzata arra vonatkozóan, hogy a feltárt sérülékenységeket milyen módon kell bejelenteni, és azok veszélyességének függvényében mekkora összegű jutalom jár az információk átadásáért. Azonban a mindennapokban néha-néha felmerülnek jogi és egyéb problémák is a jutalmazási programok kapcsán. E nehézségek leküzdését tűzte ki célul a Bugcrowd, amikor elkészítette azt a keretrendszerét, amely kifejezetten a jutalmazási programok bevezetését, szabályozását segíti elő.
Az Open Source Responsible Disclosure Framework kialakításában a CipherLaw cég is részt vett annak érdekében, hogy a jogi problémákat is megnyugtató módon lehessen rendezni. Erre azért van szükség, mert nem minden esetben könnyű megmondani azt, hogy a biztonsági rések keresése során meddig mehet el egy kutató vagy etikus hacker, és mi az, amit még jogszerűen megtehet.
"A biztonsági sérülékenységek a legtöbb rendszert veszélyeztetik beleértve az egészségügyi eszközöket, a gépkocsikat és a személyes adatokat kezelő infrastruktúrákat is. Ezért szükséges annak biztosítása, hogy a megfelelő tudással és képességekkel rendelkező kutatók ne kedvetlenedjenek el a felfedezéseik jelentésétől a jogi kockázatok miatt. Az új keretrendszer abban segíti a kutatókat, hogy nyugodtan folytathassák a fontos munkájukat" - nyilatkozta Jim Denaro, a CipherLaw szakértője.
A keretrendszer azonban nem csupán a kutatók számára készült, hanem azon szervezetek is profitálhatnak belőle, amelyek vagy már bevezettek jutalmazási programokat, vagy a jövőben tervezik mindezt megtenni. Olyan útmutatásokat tartalmaz, amelyek révén megfelelő szabályok állíthatók fel, és hatékony kapcsolat építhető ki a biztonsági kutatók közösségével.
A keretrendszer mindenki számára letölthető és szabadon használható.
-
Az Amavis fejlesztői egy biztonsági hibáról számoltak be.
-
Az Apple egy biztonsági rést foltozott be az Xcode esetében.
-
Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.
-
A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.
-
A Fortinet egy súlyos sebezhetőségről számolt be.
-
Az Adobe egy biztonsági hibát javított a ColdFusionben.
-
Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.
-
Az Adobe Lightroom egy fontos frissítést kapott.
-
Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.
-
A Windows ismét jelentős mennyiségű hibajavítást kapott.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.