Kas ir bug bounty?

Jūs droši vien esat dzirdējuši par bug bounties, bet neesat pārliecināts, kas tās ir. Lai palīdzētu novērst neskaidrības, esam izveidojuši šo rokasgrāmatu, kurā ir sīki aprakstīts viss, kas jums jāzina par kļūdu novēršanas programmām.

Kas ir bug bounty?

Drošības kļūdu balva ir sava veida atlīdzības programma programmatūras izstrādātājiem. Programmatūras uzņēmumi un atsevišķi hakeri sadarbojas, lai atrastu kļūdas programmatūras lietojumprogrammās pirms to publiskošanas. Katra kļūdu balva ir nedaudz atšķirīga, taču tām visiem ir noteikti noteikumi, kas jāievēro. Amatieri bieži tiek mudināti palīdzēt, taču ir svarīgi ievērot šos noteikumus un katras programmas atbildīgās informācijas izpaušanas politiku.

Cik maksā bug bounty?

Tas atšķiras dažādos uzņēmumos un produktos, taču kopumā mazākā summa, ko atradīsit, būs aptuveni 100 USD. Tikai daži uzņēmumi piedāvā kaut ko aptuveni 1 miljona dolāru apmērā, lai gan lielākajai daļai lielo uzņēmumu būs programma ar 100 000 USD piedāvājumu.

Microsoft kļūdu balva

instagram viewer

Microsoft labākais piedāvājums ir 300 000 USD par Microsoft Azure mākoņpakalpojumu ievainojamības ziņojumiem. Uzņēmums arī izmaksās 100 000 USD, ja atklāsit ievainojamības tā identitātes pakalpojumos, un līdz 250 000 USD par drošības problēmām, kas konstatētas Microsoft Hyper V.

Ievainojamības, kas atrodamas citos Microsoft pakalpojumos, parasti maksās no 15 000 līdz 30 000 USD. Programmā Xbox konstatētās drošības problēmas var nopelnīt 20 000 USD, savukārt problēmas, kas radušās Microsoft Edge versijā, kuras pamatā ir Chromium, var nopelnīt līdz pat 30 000 USD.

Apple bug bounty

Apple piedāvā vienu no lielākajiem kļūdu piedāvājumiem. Uzņēmums jums piešķirs 1 miljonu dolāru, ja jums izdosies atrast ievainojamību, kas ļauj kādam uzlauzt tīklu bez lietotāja mijiedarbības. Pēc paša uzņēmuma vārdiem, tai ir jābūt "nulles klikšķa kodola koda izpildei ar noturību un kodola PAC apiešanu".

Mazākā izmaksa, kas norādīta Apple pašreizējā vietnē, ir 100 000 USD, kas tiks izmaksāta, ja jums izdosies atrast iCloud ievainojamības, apiet bloķēšanas ekrānu vai atrast veidu, kā bez atļaujas piekļūt sensitīviem datiem, izmantojot instalēta lietotne.

Google kļūdu balva

Google piedāvā daudz atlīdzību savā plašajā produktu klāstā.

Par ievainojamībām, kas atrastas Google īpašumā esošajos tīmekļa īpašumos, atlīdzība ir no 100 līdz 5000 USD. Izmaksas par Chrome ievainojamībām ir nedaudz lielākas, sākot no USD 500 līdz USD 30 000, savukārt par pakalpojumā Google Play konstatētajām drošības problēmām tiks atlīdzināta 500–20 000 USD.

Bet īstā nauda ir atrodama Pixel produktu Android kļūdu dāvāšanā. Šī programma maksā līdz pat 1 miljonam USD atkarībā no atklātās izmantošanas. Labākais dolārs tiek izmaksāts ikvienam, kurš spēj uzlauzt Pixel Titan M mikroshēmu.

Papildus iepriekšminētajam Google ir pieejamas dažas dotācijas. Tie ir paredzēti jau izveidotiem ievainojamības pētniekiem un svārstās no USD 1337 līdz USD 3133. Ir pieejami arī maksājumi līdz USD 20 000 par ierosinātajiem ielāpiem noteiktiem atvērtā pirmkoda projektiem.

Facebook kļūdu balva

Facebook nav augšējā ierobežojuma, cik tas maksās par kļūdu piemaksām, bet tā vietā ir ievainojamības aprēķins, kurā ņemta vērā “ietekme, izmantošanas vieglums un ziņojuma kvalitāte”.

Īsāk sakot, uzņēmumam ir jāizlemj, cik vērtīga ir jūsu jaunatklātā ievainojamība. Minimālā atalgojuma summa ir 500 USD, bet personai iepriekš par darbu ir piešķirta USD 50 000.

Kļūdu atlīdzības programmā ir iekļauti visi Facebook produkti, tāpēc varat izmantot to pašu portālu, lai iesniegtu problēmas saistībā ar Instagram.

HackerOne kļūdu balva

HackerOne ir platformas un kolektīva sajaukums. Tas nodrošina portālu lieliem tehnoloģiju uzņēmumiem un hakeriem, ļaujot pirmajiem reklamēt, kādus naudas atlīdzības tas var piedāvāt, bet pēdējiem iesniegt ziņojumus par ievainojamību.

Tajā ir labs pašreizējo kļūdu katalogs, kas piedāvā no 100 līdz 2000 USD par ievainojamību.

Tajā ir arī kaut kas, ko sauc par Internet Bug Bounty, kas atmaksāsies, ja izdosies atrast drošības trūkumu programmatūrā, kas atbalsta interneta steku. Piemēram, konstatējot problēmu ar populāro Python programmēšanas valodu, jūs varētu nopelnīt 500 USD kabatas naudu.