hackerone与《每日斯威格》谈论道德黑客时beplay2018官网的支持应该是什么样的
对于希望加强自己的安全性的公司而言,Bug Bounty计划正在迅速成为重要的工具。
迄今为止,包括Microsoft,Google,HP甚至美国国土安全部在内的公司和组织已向研究人员支付了数百万美元,以披露其安全性的漏洞。
但一份报告克雷斯特(Crest)本周发行指出,需要做更多的工作,以鼓励脆弱性报告中的最佳实践。
该报告指出,需要制定准则,以清楚地说明什么是“好”赏金计划,什么不是,该报告还没有说明,该报告还显示,到目前为止,已向Finders奖励了超过600万美元。
一些公司已经采取了自己的步骤,例如Bugcrowd的推出开源平台披露.io,旨在保护安全研究人员的合法权利。
其他,例如hackerone,也正在努力加强其错误发现者与客户之间的关系,包括Google,美国政府,Twitter,Github和Dropbox。
每日swbeplay2018官网ig与Hackerone计划运营总监Adam Bacchus进行了交谈,讨论其反应团队如何导航道德黑客的模糊水域,以及它可以做些什么来改善负责任的披露实践。
Hackerone响应团队的主要职责是什么?
亚当·巴克斯(Adam Bacchus):安全团队的责任是及时回复提交的内容,并与研究人员合作以快速解决漏洞。
我们通常建议安全团队通过诚实努力以迅速和透明的方式解决报告的安全问题,并通过向他们赋予公众认可,以尊重他们的贡献来解决安全团队的优先级。
[他们也必须]不害怕,也不要对发现者采取不合理的惩罚行动,例如构成法律威胁或将事项转交给执法部门。
Hackerone可以为希望启动错误赏金计划的组织做什么?
AB:希望通过平台启动错误赏金计划的组织,或者第一次向我们寻求有关WHO,什么,何时,何时以及如何的指导。
我们应该邀请谁或开放我们的计划?什么时候是启动程序的最佳时间?我们应该在哪里提供有关该计划的信息?我们如何确保成功?
Hackerone AID安全研究人员如何?
AB:Hackerone为安全研究人员提供了安全,一致的渠道。他们可以通过一致的界面报告漏洞,并确信与他们合作的公司将遵守Hackerone的程序标准。
他们不会受到威胁,法律语言或执法的认识。
Hackerone还为收入提供了机会。在我们最近的2018年黑客报告中,最高收入的研究人员是其祖国软件工程师中位工资的2.7倍。
您发现组织与研究人员之间存在积极的关系吗?还是会紧张?
AB:是的。在许多情况下,由于在学习攻击表面上投入时间以及与组织具有积极的经验,一套黑客将“锚定”特定计划。
组织经常与这些经验丰富的黑客建立良好的关系,以使他们参与计划。在某些情况下,组织甚至雇用了黑客作为全职员工。
最后,漏洞赏金计划有多重要,他们对整个安全社区带来了什么?
AB:虽然没有人可以抓住手指并从稀薄的空气中拉出一个错误的赏金程序,但实施一个或最少设置响应程序变得容易得多。
对我来说似乎很容易。无论如何,犯罪分子都会在您的系统中找到并利用系统中的缺陷。为什么不打开大门让友好的黑客通知您这些相同的问题,因此您可以在罪犯利用罪犯之前找到并修复它们呢?
在个人确定了存储我自己敏感数据的服务中的漏洞后,我信任组织以某种方式从社区方式接收错误的组织,而不是视而不见或更糟的是寻求惩罚性行动。
与组织外的研究人员合作的概念一开始似乎令人生畏,但这肯定变得更加常态,并且发现和修复规模的漏洞比您想象的要容易得多。
