Rodolphe Harand Yeswehack解释了法国错误赏金平台如何扰乱市场

YesWeHack已经成长为欧洲领先的漏洞悬赏平台

2013年,三名道德黑客意识到传统安全审计的缺陷,开始创建一个程序,研究人员可以通过这个程序向法国各种规模的公司报告关键漏洞。

多年后,这个最初只是Guillaume Vassault-Houlière, Manuel Dorne和Romain Lecoeuvre的一个副项目,现在已经发展成为一个平台,在这里大约有10000个bug搜索者正在安全地寻找和修复bug,创造安全意识,并赚取一些额外的现金。

建立作为欧洲替代品的Bug Bounty平台,YesWeHack旨在扰乱美国主导的市场,2月份投资者筹集了400万欧元(约450万美元),并计划将其主要的法国企业展开,侧重于欧洲和亚洲的组织。

瑞士网络风暴本月在伯尔尼举行的会议,每日痛饮beplay2018官网与YesWeHack的经理鲁道夫·哈兰德(Rodolphe Harand)坐下来讨论bug赏金,逐个设计,以及公司如何在大型美国的平台上看到,如Hackerone和Bogcrowd。


嗨Rodolphe!请你能谈谈Yeswehack平台背后的想法。

是的是的徽标

Rodolphe Harand:这个想法是成为美国[错误赏金]平台的欧洲替代品。

如果您是一家公司,您已经在美国手中拥有了大部分的公司:云服务,提供商,所有那些作为一家服务提供商,所以这将是很好的,至少,这种环境的安全性保持某种形式的平衡。

如果我们没有成功,我们将拥有的是Facebook或Bug Bounties的谷歌,这意味着一个单一的平台管理数百或数百万的错误和利用在一起。困境可能是巨大的,所以我认为任何非美国公司至少都有选择,这真的很重要。

所说,我们不想成为“法国抵抗”。我们希望成为欧洲的替代品。

我们的狩猎者群体是国际化的,每天都有越来越多的亚洲狩猎者来到我们这里,但我们仍然希望保持这种欧洲质量水平的标签,我认为这在一定程度上是出于对保密和隐私重要性的意识。


与HackerOne和Bugcrowd等美国漏洞奖励平台相比,YesWeHack平台的运行方式有什么重大区别吗?

RH:我们在法国,没有类似的法律,如爱国者法案和云法案适用。我们集成GDP.[一般数据保护规范]在平台设计中,由于客户和猎人的数据隐私在欧洲至关重要。



在欧洲,bug赏金的市场是怎样的?它们是众所周知的,并且被普遍接受为一种增加组织安全态势的方式吗?

RH:在法国,臭虫赏金通常欢迎,因为我们的[是]联合创始人现在已经推广了这一话题差不多十年。Bug啤酒堆积非常时尚,酷,不如美国那么多,但欧洲其他地区都有很长的路要走。

北欧相当先进,欧洲其他地区仍然停滞不前,但我们可以看到一些变化的迹象。

我认为瑞士,在一定程度上要感谢瑞士邮政和电子投票倡议-将会是欧洲bug奖励的早期采纳者。


是的,是yeswehack目前运行多少节目?

RH:我们有超过200个项目,很多在法国,但越来越多的位于欧洲和亚洲其他地区。

由于目前欧洲和亚洲市场的成熟(与北美市场相比),这些项目大多是私有的。我们有大约20个公共项目。


从每日SWIG阅读更多最新的BUG赏金新闻beplay2018官网


运营一个公开的漏洞奖励计划有什么好处?

RH:私人项目和公共项目的价值是不同的。

当您运行五年的私人计划时,一个公共Bug赏金是最合乎逻辑的下一步,因为在某些时候,您需要一些新鲜的眼睛。这是获得更好的安全性的额外英里。

然后您有透明度或通信方面。公共计划是一种在系统中显示信心的方式。你在说:我挑战你攻击我。

每个人都可以看到这个程序,它的范围是什么,报告了什么bug,透明度是安全的一个巨大支柱,而bug赏金程序是公司实现这种信任的重要一步。



您是否有任何货币估计,自奖励以来已经授予了它是多少奖金?

RH:不幸的是,我们无法交流这些数字。


好的。如果一个猎人发现了一个致命的弱点,他能得到的最大奖励是什么?

RH:作为一家公司,我们不沟通货币价值观,因为我们不希望市场相信您需要支付50,000美元以确保重大漏洞。那不是真相。

我们有许多初创公司,他们每年有1万美元的预算,想要实施漏洞奖励计划,以变得更安全。对他们来说,bug赏金比传统审计更有成本效益,我们希望猎人们与所有人合作。

由于众所周心的支付,所有的小公司都可以害怕Bug Bounties,我认为这真的是一个媒体的东西。有些平台利用这种媒体的胃口魅力有关巨大奖金的性感故事,这可能是故事的一部分,但它并非所有的一部分。


YesWeHack宣传材料


实施有效的BUG赏金计划有哪些挑战?

RH:如果您运行Bulty Bounty,它意味着您将在程序范围内修复错误。

令人遗憾的事实是,许多组织没有修复它们的bug,因为它们不愿意,或者因为技术或业务原因不能这样做。


我们不应该专注于从一开始的设计安全产品,而不是终端安全性,就像Bug Bounties一样可以提供?

RH:我们认为,逐个设计是Bug Bounties的核心值之一。

通过bug赏金,我们可以将开发人员与报告bug的猎人联系起来。首先,这将创建一个意识的影响,因为作为一名开发人员,您说话的人发现错误在他们的应用程序和它的不一样的审计或咨询公司——猎人将解释他们如何发现并利用了缺陷以及如何创建一个补丁。

开发人员现在有了这些信息,他们学会了编写更安全的代码。客户告诉我们,这完全改变了他们的工作方式,因为开发人员正在考虑狩猎者的观点。



你认为未来我们可以从bug赏金计划中期待什么?

RH:我认为自动化是网络的未来,为了在网络中有效自动化,你需要验证数据。

DevSecOps暗示自动化,您需要数据,Bug奖金提供此数据。使用标准信息,您获得一些错误,并且可以由客户重复使用此信息以自动执行任务。

这是正确的方向,我们看到了鼓励,但我们也看到初创企业发布产品时没有任何安全审查,新一代IT从业者也犯了同样的错误。


有关的Bug Bounty Radar // 2019年9月