Bugcrowd CTO Casey Ellis讨论了该准则如何帮助研究人员和公司解决漏洞
本月初,Bugcrowd推出了一个新的报告框架,旨在进一步保护安全研究人员,为道德黑客创建“安全港”,并解决披露方面的法律风险。
这披露项目是一套新的开源漏洞指南,并在研究人员和组织中编写。
在越来越多的数字世界中,公司和供应商正在转向白帽子黑客,以帮助加强其安全措施并保护其业务。
但是有时候,即使是最负责任的研究人员也可能会被刺痛。
威胁和其他法律并发症只是研究人员面临的一些风险,公司也面临危险 - 声誉损失只是一个问题。
凯西·埃利斯(Casey Ellis),创始人兼首席技术官bugcrowd, 对...说每日swbeplay2018官网ig通过电子邮件透露披露如何解决这些问题,以及它如何改变我们全球报告漏洞的方式。
是什么激发了披露的想法?是为了应对特定事件吗?
凯西·埃利斯(Casey Ellis):联邦反黑客法律目前尚未符合经常确定和修补安全漏洞的方式。
《计算机欺诈与滥用法》和《数字千年版权法》不包括披露虫子的研究人员的安全港,造成了不鼓励道德黑客攻击的法律差距。此外,公司已经对发现严重脆弱性的人采取了法律行动或威胁它。
Dible.io为人们和组织提供了一个定格,直到将这些保护纳入政策为止。
为什么当已经有流行的披露计划时,为什么需要披露。IO?
CE:Dible.io是一个框架,该框架扩展了Bugcrowd和Cipherlaw的领先工作开源漏洞披露框架,阿米特·埃拉萨里(Amit Elazari)法律漏洞赏金和Dropbox。
在启动程序之前建立清晰的语言具有两倍的好处:组织感到安全并避免勒索或声誉损害等情况,而真诚行动的安全研究人员可以报告漏洞而不会面临法律影响。
如何保护研究人员可以披露,以及它提供什么样的保护或援助?
CE:这design philosophy of the Disclose.io framework is to balance four forces – legal completeness, safe harbor for security researchers, safe harbor for program owners, and readability for those who don’t have a legal background or who don’t speak English as a first language.
这也会使组织受益吗?
CE:披露。io使组织能够通过合并明确的授权,并符合明确的范围,从而保护自己和研究人员,并通过合并明确的安全港口语言来保护自己的漏洞赏金和漏洞披露计划。
最后,漏洞赏金计划对整个安全行业有多重要?
CE:根据Bugcrowd的2018年漏洞赏金报告,在去年启动的赏金计划中,增长了40%,比去年增长了33%。
该报告发现,漏洞的数量和严重性以及对黑客的支出的数量和严重性的增加,这清楚地表明,公司正在转向众包安全性,以应对复杂的威胁景观。
