Bountygraph是众筹的漏洞赏金,用于堆栈中的高影响力缺陷
没有人愿意重新发明轮子 - 但是使用开源代码库或包裹会带来依赖问题的风险,这些问题可能难以解决。
进入赏金,今年夏天推出了一项Bug Bounty服务,允许企业使用相同软件与其他组织合并资金,以使其安全预算尽可能地进行。
“该网站的想法是在我参加大学的Bug Bounty课程时。随着时间的流逝,我开始寻找较高的影响错误,堆栈中的较低幅度。”联合创始人Max Justicz告诉每日swbeplay2018官网ig。
“当我可以在Rubygems.org中找到一个bug时,为什么要花时间在一个网站上找beplay体育能用吗到一个错误,该错误是开源的,其安全性几乎影响了世界上的每个铁路应用程序?”
贾斯蒂奇(Justicz)说,不幸的是,这样做的影响并没有反映在可用的漏洞中 - 确实,通常根本没有赏金。
他说:“归根结底,黑客是否通过自己的开发人员写的代码或通过免费和开源的Web服务器来黑客入侵您的Web应用程序都没关系:无论如何您beplay体育能用吗都会受到损害。”
“ Bug Bounties目前没有反映出这一点。我认为这是私营企业和虫子猎人之间的激励措施不一致的案例,因此我建立了一个试图修复它的网站。”
通过BountyGraph,组织可以注册一个特定的项目,随着更多的加入,潜在的赏金会增加。赞助商投入了更多的钱。然后,研究人员可以在相关软件中报告漏洞,并在确定安全问题并发布补丁后发出赏金。
BountyGraph还以类似的方式提供了安全审计,从一家既定的安全咨询公司获得了一份审核的报价,该审计一旦获得了足够的资金承诺。
结果然后与参与者共享。BountyGraph本身是通过削减了通过平台资助的15%的赏金和审核来资助的。
Justicz说:“ BountyGraph有许多支票和余额,以确保赏金支付过程是公平的。”
“资金组织从不义务支付赏金:如果报告的某些方面使任何人感到不安,则无需支付。在将报告可见的资金组织可见之前,需要公开补丁。”
黑客的奖励可能是非常可观的,Dropbox的赏金可容纳32,768美元,用于鱿鱼和卷发的关键虫子。贾斯蒂奇说,还有更多。
Justicz说:“ Dropbox是我们迄今为止最大的项目资助者,但是又有几个组织表示兴趣,您应该看到他们在未来几周和几个月内出现在Bountygraph上。”
