انواع برنامه های باگ بانتی: عمومی یا خصوصی، داخلی یا پلتفرم

انواع برنامه های باگ بانتی: عمومی یا خصوصی، داخلی یا پلتفرم

انواع برنامه های باگ بانتی: عمومی یا خصوصی، داخلی یا پلتفرم

تمام برنامه های باگ بانتی باگ ها را از هکرهای کلاه سفید خریداری می‌کنند. هکرهای اخلاقی به دنبال نقص های ایمنی جدید می‌گردند، مواردی که کشف کرده اند را در گزارش های کامل با جزئیات کامل توضیح می‌دهند و ازطریق یک رابط دیجیتالی این گزارش را برای بازبینی ثبت می‌کنند، و انتظار دریافت پاداش دارند. اما تمام برنامه های بانتی به یک شکل نیستند. برخی از این برنامه ها به شکل “داخلی (in-house)” هستند، این درحالیست که برخی از این برنامه های توسط پلتفرم های بانتی برگزار می‌شوند. اکثر این برنامه ها به صورت آزادانه در دسترس تمام هکرهایی هستند که قصد ثبت گزارش دارند و برخی دیگر خصوصی بوده و تنها در دسترس هکرهایی هستند که به برنامه دعوت شده اند.

برنامه های شکارجایزه آسیب‌پذیری داخلی برنامه هایی هستند که مستقیما توسط کارکنان فنی خود شرکت اجرا می‌شود که اغلب با ظرفیت فنی و تعداد مشخصی از افراد برگزار می‌شود. برای مثال، شرکت های اپل، گوگل و مایکروسافت هرکدام برنامه های بانتی داخلی خود را با تعداد مشخصی از افراد اجرا و مدیریت می‌کنند. علاوه براین سازمان ها می‌توانند مدیریت برنامه باگ بانتی خودشان را دریک “پلتفرم” مانند HackerOne، Bugcrowd یا Intigriti و… برون سپاری کنند. این پلتفرم ها یک نوع واسط کارگری یا نوعی آژانس کاریابی موقت نوظهور هستند که بین محققان امنیتی و سازمان ها قرار می‌گیرند. هکرها به صورت رایگان دراین پلتفرم ها ثبت نام می‎‌کنند، این درحالیست که سازمانها برای ثبت نام بایستی یک مبلغ ثابت و/یا درصدی از پاداش آسیب پذیری را به پلتفرم برای میزبانی برنامه بانتی این سازمان پرداخت کنند. اکثرقریب به اتفاق برنامه های باگ بانتی از طریق این دو پلتفرم بزرگ بانتی HackerOne یا Bugcrowd اجرا می‌شوند. حتی آن دسته از برنامه هایی که اسما شخصی و داخلی هستند نیز با این پلتفرم ها مشارکت دارند.

برنامه های باگ بانتی، خواه داخلی باشند یا روی پلتفرم اجرا شوند، می‌توانند عمومی یا خصوصی باشند. برنامه های عمومی برای همه هکرهای اخلاقی قابل دسترسی هستند. همه هکرها می‌توانند گزارش باگ خودشان را در برنامه ثبت کنند. اما برنامه های خصوصی تنها برای هکرهایی که از سمت شرکت انتخاب شده و دعوتنامه گرفته اند قابل دسترسی است. اکثر برنامه های بانتی خصوصی هستند. برای مثال، 79% برنامه های باگ بانتی اجرا شده در پلتفرم HackerOne در سال 2019 خصوصی بودند ( در پلتفرم Bugcrowd هم شرایط مشابهی وجود داشت). برای اکثر محققین امنیتی کار در بازار باگ بانتی به معنی کار در پلتفرم های باگ بانتی و دریافت دعوتنامه های امن برای شرکت در برنامه های باگ بانتی خصوصی است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *