提供安全漏洞赏金的公司必须包括保护研究人员的规定
需要做更多的事情来建立一个框架,该框架将使道德黑客在网站上寻找缺陷,而不会冒着潜在的起诉。beplay体育能用吗
数百个组织已经忽略了hackers通过漏洞披露,错误赏金和高级笔测试程序在其系统中找到错误的欢迎垫。
尽管如此,根据反黑客法律的起诉仍然是一种风险 - 如果现场所有者在其计划政策中包含安全港口的语言,则可以消除这一潜在威胁。
Bugcrowd的安全研究员倡导者ChloéMessdaghi今天在BSIDES伦敦告诉代表,Bug Bounty市场发展得如此之快,以至于许多计划无法解决该问题。
梅斯达吉说,省略安全港政策通常是无意的,并补充说,尽管组织需要提高法律不确定性,但他们通常缺乏改变政策的知识。
安全港政策使计划所有者能够激励道德黑客,同时设定允许的范围,并保留范围,以对恶意黑客采取执法行动。
Messdaghi说,Bugcrowd正在为计划所有者提供“标准化的,开源,易于阅读的法律样板”。
该框架还将为黑客提供现成的机制来报告错误,例如通过专用的电子邮件地址。
梅斯达吉(Messdaghi)解释说,安全港口的语言减少了法律的灰色区域的歧义。
披露- 由Bugcrowd和Amit Elazari发起的项目,并由黑客社区和计划经理运营 - 率先付出了努力。
该计划的加拿大版本将在两周的时间内引入。
Messdaghi说:“我们想将其带到英国。”他补充说,Bugcrowd及其合作伙伴欢迎有兴趣采取该计划的法律专家和公司的支持。
上个月,企业软件巨头Atlassian通过在其自己的Bug Bounty计划规则中添加安全港条款来强调其对保护安全研究人员的承诺。
该公司的伊桑·道奇(Ethan Dodge)说:“在阿特拉斯利亚人,我们担心一些参与其他计划的研究人员在真诚行事后发现自己受到法律行动的威胁。”
“ Atlassian自豪地宣布我们采用了安全港条款。只要他们真诚地行事并遵循我们赏金计划的所有其他规则,[研究人员]将永远不会面临来自阿特拉斯利亚人的任何法律影响。”
