Így jutalmazhatja a biztonsági kutatókat
Egy új keretrendszer vált elérhetővé, amely a biztonsági rések után kutató szakembereknek és az őket jutalmazó cégeknek jelenthet segítséget.Az elmúlt években egyre elterjedtebbé vált, hogy az informatikai, szolgáltató és fejlesztő cégek jutalmazzák azokat a szakembereket, akik első kézből jeleznek különféle sebezhetőségeket. E vállalatok közé tartozik egyebek mellett a Google, a Facebook, a PayPal, a Mozilla és a Microsoft is. Mindegyik szervezetnek van egy-egy szabályzata arra vonatkozóan, hogy a feltárt sérülékenységeket milyen módon kell bejelenteni, és azok veszélyességének függvényében mekkora összegű jutalom jár az információk átadásáért. Azonban a mindennapokban néha-néha felmerülnek jogi és egyéb problémák is a jutalmazási programok kapcsán. E nehézségek leküzdését tűzte ki célul a Bugcrowd, amikor elkészítette azt a keretrendszerét, amely kifejezetten a jutalmazási programok bevezetését, szabályozását segíti elő.
Az Open Source Responsible Disclosure Framework kialakításában a CipherLaw cég is részt vett annak érdekében, hogy a jogi problémákat is megnyugtató módon lehessen rendezni. Erre azért van szükség, mert nem minden esetben könnyű megmondani azt, hogy a biztonsági rések keresése során meddig mehet el egy kutató vagy etikus hacker, és mi az, amit még jogszerűen megtehet.
"A biztonsági sérülékenységek a legtöbb rendszert veszélyeztetik beleértve az egészségügyi eszközöket, a gépkocsikat és a személyes adatokat kezelő infrastruktúrákat is. Ezért szükséges annak biztosítása, hogy a megfelelő tudással és képességekkel rendelkező kutatók ne kedvetlenedjenek el a felfedezéseik jelentésétől a jogi kockázatok miatt. Az új keretrendszer abban segíti a kutatókat, hogy nyugodtan folytathassák a fontos munkájukat" - nyilatkozta Jim Denaro, a CipherLaw szakértője.
A keretrendszer azonban nem csupán a kutatók számára készült, hanem azon szervezetek is profitálhatnak belőle, amelyek vagy már bevezettek jutalmazási programokat, vagy a jövőben tervezik mindezt megtenni. Olyan útmutatásokat tartalmaz, amelyek révén megfelelő szabályok állíthatók fel, és hatékony kapcsolat építhető ki a biztonsági kutatók közösségével.
A keretrendszer mindenki számára letölthető és szabadon használható.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
-
A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.