Avec la complexité du logiciel, il est difficile de s'assurer qu'il n'y a pas de bugs. C'est simplement la voie des choses qui sont conçues par l'homme et très complexes. Pour minimiser le problème, les sociétés de développement de logiciels incluent des revues de code dans leur cycle de vie de développement de logiciels. Mais même un examen minutieux par des experts ne peut pas tout saisir. Les limitations budgétaires et en temps réel exacerbent cela. Pour cette raison, les bogues se frayent un chemin vers les systèmes de production. Certains bugs ont peu ou pas d'effet, mais d'autres peuvent introduire de vilaines vulnérabilités de sécurité.
Une vulnérabilité de sécurité est une classe de bogues qui affecte la sécurité du système d'une manière ou d'une autre. Il existe un large éventail de résultats possibles, mais en fin de compte, toutes les vulnérabilités de sécurité sont mauvaises pour tout le monde. Malheureusement, trouver des bogues peut être difficile et prendre du temps. Alors que les développeurs ne peuvent passer qu'un temps limité à tester les bogues, un autre groupe combiné passe beaucoup plus de temps à utiliser l'application : les utilisateurs.
Les utilisateurs d'un système, combinés, passent beaucoup plus de temps sur un système que les développeurs de ce système ne le pourraient jamais. Ils utilisent également une plus grande variété d'appareils. Combiné, cela constitue l'environnement idéal pour trouver des bogues - de nombreux yeux et cas extrêmes.
Mettre les utilisateurs au travail
La façon traditionnelle d'utiliser les utilisateurs pour résoudre les bogues est d'avoir une fonction de rapport d'erreur qui permet aux utilisateurs de signaler un bogue qu'ils rencontrent. Les développeurs peuvent utiliser ces informations pour répliquer, identifier et résoudre le problème. Le problème est qu'il y a une incitation minimale pour l'utilisateur à signaler tout problème. C'est un processus qui prend du temps, a des implications potentielles sur la vie privée et n'entraîne généralement aucun retour d'information, même si le problème est résolu.
Les failles de sécurité sont encore pires. Un utilisateur malveillant pourrait choisir d'utiliser une vulnérabilité qu'il trouve activement. Selon le problème, il peut être possible d'accéder à quelque chose de précieux, soit sur le marché noir, soit par le biais d'une rançon ou d'un chantage. Alternativement, il est possible de vendre la connaissance de la vulnérabilité sur le marché noir. Dans tous les cas, les utilisateurs ne sont pas incités à signaler des bogues et sont découragés à signaler des vulnérabilités de sécurité.
Tourner les tables
Un système de primes de bogue est un moyen de renverser la situation pour encourager le signalement actif des problèmes de sécurité. La méthode est simple, les récompenser. La méthode standard consiste à payer une prime monétaire et à fournir une reconnaissance publique de la contribution. Cela récompense directement les utilisateurs pour avoir signalé une vulnérabilité de sécurité et les encourage à faire ce qu'il faut.
Les systèmes de primes aux bogues sont généralement ouverts à tous. Tout utilisateur qui identifie une faille de sécurité peut la signaler et être payé. Il y a cependant quelques mises en garde. Pour être payé, vous devez généralement être la première personne à signaler un problème, bien qu'il existe parfois de rares exceptions dans des circonstances exceptionnelles. Vous devez également suivre les règles.
Les règles d'un système de primes aux bogues offrent une protection générale contre les poursuites judiciaires si vous les respectez. Ils sont souvent détaillés mais relativement simples. N'accédez pas aux données d'autres personnes, n'utilisez pas les vulnérabilités à des fins malveillantes et divulguez-les de manière privée et responsable. Certaines choses peuvent également être considérées comme interdites.
À quoi ressemblent les récompenses ?
De manière réaliste, les récompenses sont basées sur la bonne volonté. Il y a aussi un élément de "si cela provoquait une violation de données, nous devions payer une amende beaucoup plus importante". Généralement, l'entreprise paie un montant relativement faible pour cela. Cela peut toutefois représenter beaucoup pour le journaliste. Certains bogues peuvent être payés pour moins de cent dollars. Dans les cas extrêmes, cependant, certaines entreprises ont payé cent mille dollars pour de graves vulnérabilités. Bien sûr, la plupart des primes sont bien inférieures à cela.
Historiquement, les primes de bogue ont été beaucoup plus faibles et parfois plus d'un simple merci. Envoyer un tee-shirt gratuit ou fournir un abonnement gratuit à vie au service, par exemple. Les grandes entreprises technologiques ont cependant stimulé le marché, tout comme l'arrivée des plateformes de primes de bogues. Les plateformes de primes de bogues sont des sites Web qui hébergent les programmes de primes de bogues de nombreux clients. Ils regroupent tout en un seul endroit. Il est ainsi beaucoup plus facile pour une petite organisation de gérer un système de primes de bogue. L'une des façons d'y parvenir est simplement de normaliser le processus.
Bien sûr, la récompense d'une prime de bogue est bien inférieure à ce qui pourrait être obtenu en vendant le bogue sur le marché noir. Le concept fait confiance au fait que, généralement, la plupart des gens veulent faire ce qu'il faut. Ou du moins, ils ne veulent pas que le risque d'enfreindre la loi revienne les hanter.
Conclusion
Une prime de bogue est un système de paiement d'une récompense pour la découverte et la divulgation responsable d'une vulnérabilité de sécurité. Il encourage activement les utilisateurs à tester et à améliorer la sécurité des produits. Cela apporte de nombreux nouveaux regards sur le processus de test, le tout à un coût minime pour l'entreprise. Bien sûr, en tant que participant à un système de primes de bugs, il est essentiel d'être prudent et de comprendre les règles.
Le piratage est illégal ; le programme bug bounty permet de tester certaines choses mais inclut généralement des limitations. Si vous ne respectez pas les règles, vous pouvez être pénalement responsable. Si vous suivez les règles, trouvez et signalez un bogue, vous pourriez obtenir un bon paiement et augmenter la sécurité pour vous et les autres utilisateurs.
Si les applications et programmes non épinglés réapparaissent sur la barre des tâches, vous pouvez modifier le fichier Layout XML et supprimer les lignes personnalisées.
Supprimez les informations enregistrées de l
Dans ce tutoriel, nous vous montrons comment effectuer une réinitialisation douce ou dure sur l
Il existe tellement d\
Chercher la bonne carte pour payer peut être un vrai casse-tête. Découvrez comment Samsung Pay simplifie vos paiements avec le Galaxy Z Fold 5.
Lorsque vous supprimez l
Ce guide vous montrera comment supprimer des photos et des vidéos de Facebook en utilisant un PC, un appareil Android ou iOS.
Nous avons passé un peu de temps avec le Galaxy Tab S9 Ultra, et c’est la tablette parfaite à associer à votre PC Windows ou au Galaxy S23.
Désactivez les messages texte de groupe sur Android 11 pour garder vos notifications sous contrôle pour l
Effacez l
