Így jutalmazhatja a biztonsági kutatókat

Egy új keretrendszer vált elérhetővé, amely a biztonsági rések után kutató szakembereknek és az őket jutalmazó cégeknek jelenthet segítséget.
 

Az elmúlt években egyre elterjedtebbé vált, hogy az informatikai, szolgáltató és fejlesztő cégek jutalmazzák azokat a szakembereket, akik első kézből jeleznek különféle sebezhetőségeket. E vállalatok közé tartozik egyebek mellett a Google, a Facebook, a PayPal, a Mozilla és a Microsoft is. Mindegyik szervezetnek van egy-egy szabályzata arra vonatkozóan, hogy a feltárt sérülékenységeket milyen módon kell bejelenteni, és azok veszélyességének függvényében mekkora összegű jutalom jár az információk átadásáért. Azonban a mindennapokban néha-néha felmerülnek jogi és egyéb problémák is a jutalmazási programok kapcsán. E nehézségek leküzdését tűzte ki célul a Bugcrowd, amikor elkészítette azt a keretrendszerét, amely kifejezetten a jutalmazási programok bevezetését, szabályozását segíti elő. 

Az Open Source Responsible Disclosure Framework kialakításában a CipherLaw cég is részt vett annak érdekében, hogy a jogi problémákat is megnyugtató módon lehessen rendezni. Erre azért van szükség, mert nem minden esetben könnyű megmondani azt, hogy a biztonsági rések keresése során meddig mehet el egy kutató vagy etikus hacker, és mi az, amit még jogszerűen megtehet. 

"A biztonsági sérülékenységek a legtöbb rendszert veszélyeztetik beleértve az egészségügyi eszközöket, a gépkocsikat és a személyes adatokat kezelő infrastruktúrákat is. Ezért szükséges annak biztosítása, hogy a megfelelő tudással és képességekkel rendelkező kutatók ne kedvetlenedjenek el a felfedezéseik jelentésétől a jogi kockázatok miatt.  Az új keretrendszer abban segíti a kutatókat, hogy nyugodtan folytathassák a fontos munkájukat" - nyilatkozta Jim Denaro, a CipherLaw szakértője. 

A keretrendszer azonban nem csupán a kutatók számára készült, hanem azon szervezetek is profitálhatnak belőle, amelyek vagy már bevezettek jutalmazási programokat, vagy a jövőben tervezik mindezt megtenni. Olyan útmutatásokat tartalmaz, amelyek révén megfelelő szabályok állíthatók fel, és hatékony kapcsolat építhető ki a biztonsági kutatók közösségével. 

A keretrendszer mindenki számára letölthető és szabadon használható.
 
  1. 4

    Az Amavis fejlesztői egy biztonsági hibáról számoltak be.

  2. 3

    Az Apple egy biztonsági rést foltozott be az Xcode esetében.

  3. 2

    Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.

  4. 4

    A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.

  5. 4

    A Fortinet egy súlyos sebezhetőségről számolt be.

  6. 3

    Az Adobe egy biztonsági hibát javított a ColdFusionben.

  7. 4

    Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.

  8. 4

    Az Adobe Lightroom egy fontos frissítést kapott.

  9. 3

    Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.

  10. 4

    A Windows ismét jelentős mennyiségű hibajavítást kapott.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség