MI A BUG BOUNTY?
A Bug Bounty egy forradalmian új megközelítése a biztonsági tesztelésnek, melynek során a vállalat a közösség segítségével igyekszik felderíteni a biztonsági hibákat.
Egy felelősségteljes közzétételi nyilatkozat (Responsible disclosure) betartása mellett bármely biztonsági tesztelő vizsgálhat egy alkalmazást/terméket és jelentheti a biztonsági hibákat, ennek fejében a vállalat, a hiba súlyosságának függvényében jutalmat ajánlhat fel (Bug Bounty). A Bug Bounty program során az előre meghatározott domaineket, alkalmazásokat vizsgálhatja a közösség, az engedélyezett és tiltott módszerek figyelembe vételével.
MI A BUG BOUNTY PROGRAM ELŐNYE?
A Bug Bounty program legnagyobb előnye a tesztelők számának mennyisége és szaktudásuk diverzitása. A sokszínű közösség a legritkábbnak számító hibákat is megtalálhatja, ám nem érdemes egy ilyen programot az legalapvetőbb biztonsági rések feltérképzésére használni, az anyagi források nagy igénye miatt
Bug Bounty program keretében a megbízó lehetőséget ad független tesztelőknek, hogy biztonsági hibákat (bug) keressenek a honlapjukon/alkalmazásukon. A tesztelés során a kutatók elkerülik a privát adatokkal való kapcsolatot, továbbá nem korlátozzák semmilyen formában (pl.: DOS támadás) az alkalmazás elérhetőségét és nem tesznek kárt benne.
Bug Bounty programot Sérülékenység Vizsgálat és Penetrációs teszt után érdemes indítani, amikor a biztonsági felkészültség szintje már magas és érdemes folyamatosan futtatni.
AZ AXEN Menedzselt Bug Bounty program a következő szolgáltatásokat kínálja:
- A tesztelni kívánt domain vagy alkalmazás tesztelési szabályzatának összeállítása
- A Bug Bounty program promóciója
- A beérkező jelentések elemzése és a hibák reprodukálása, kapcsolattartás a tesztelővel
- A hibák súlyosságának triázsolása az AXEN által kifejlesztett keretrendszer segítségével
- Segítségnyújtás a technikai személyzetnek a hibák javításában
- A kijavított hibák megerősítése