Avec la complexité du logiciel, il est difficile de s'assurer qu'il n'y a pas de bugs. C'est simplement la voie des choses qui sont conçues par l'homme et très complexes. Pour minimiser le problème, les sociétés de développement de logiciels incluent des revues de code dans leur cycle de vie de développement de logiciels. Mais même un examen minutieux par des experts ne peut pas tout saisir. Les limitations budgétaires et en temps réel exacerbent cela. Pour cette raison, les bogues se frayent un chemin vers les systèmes de production. Certains bugs ont peu ou pas d'effet, mais d'autres peuvent introduire de vilaines vulnérabilités de sécurité.
Une vulnérabilité de sécurité est une classe de bogues qui affecte la sécurité du système d'une manière ou d'une autre. Il existe un large éventail de résultats possibles, mais en fin de compte, toutes les vulnérabilités de sécurité sont mauvaises pour tout le monde. Malheureusement, trouver des bogues peut être difficile et prendre du temps. Alors que les développeurs ne peuvent passer qu'un temps limité à tester les bogues, un autre groupe combiné passe beaucoup plus de temps à utiliser l'application : les utilisateurs.
Les utilisateurs d'un système, combinés, passent beaucoup plus de temps sur un système que les développeurs de ce système ne le pourraient jamais. Ils utilisent également une plus grande variété d'appareils. Combiné, cela constitue l'environnement idéal pour trouver des bogues - de nombreux yeux et cas extrêmes.
Mettre les utilisateurs au travail
La façon traditionnelle d'utiliser les utilisateurs pour résoudre les bogues est d'avoir une fonction de rapport d'erreur qui permet aux utilisateurs de signaler un bogue qu'ils rencontrent. Les développeurs peuvent utiliser ces informations pour répliquer, identifier et résoudre le problème. Le problème est qu'il y a une incitation minimale pour l'utilisateur à signaler tout problème. C'est un processus qui prend du temps, a des implications potentielles sur la vie privée et n'entraîne généralement aucun retour d'information, même si le problème est résolu.
Les failles de sécurité sont encore pires. Un utilisateur malveillant pourrait choisir d'utiliser une vulnérabilité qu'il trouve activement. Selon le problème, il peut être possible d'accéder à quelque chose de précieux, soit sur le marché noir, soit par le biais d'une rançon ou d'un chantage. Alternativement, il est possible de vendre la connaissance de la vulnérabilité sur le marché noir. Dans tous les cas, les utilisateurs ne sont pas incités à signaler des bogues et sont découragés à signaler des vulnérabilités de sécurité.
Tourner les tables
Un système de primes de bogue est un moyen de renverser la situation pour encourager le signalement actif des problèmes de sécurité. La méthode est simple, les récompenser. La méthode standard consiste à payer une prime monétaire et à fournir une reconnaissance publique de la contribution. Cela récompense directement les utilisateurs pour avoir signalé une vulnérabilité de sécurité et les encourage à faire ce qu'il faut.
Les systèmes de primes aux bogues sont généralement ouverts à tous. Tout utilisateur qui identifie une faille de sécurité peut la signaler et être payé. Il y a cependant quelques mises en garde. Pour être payé, vous devez généralement être la première personne à signaler un problème, bien qu'il existe parfois de rares exceptions dans des circonstances exceptionnelles. Vous devez également suivre les règles.
Les règles d'un système de primes aux bogues offrent une protection générale contre les poursuites judiciaires si vous les respectez. Ils sont souvent détaillés mais relativement simples. N'accédez pas aux données d'autres personnes, n'utilisez pas les vulnérabilités à des fins malveillantes et divulguez-les de manière privée et responsable. Certaines choses peuvent également être considérées comme interdites.
À quoi ressemblent les récompenses ?
De manière réaliste, les récompenses sont basées sur la bonne volonté. Il y a aussi un élément de "si cela provoquait une violation de données, nous devions payer une amende beaucoup plus importante". Généralement, l'entreprise paie un montant relativement faible pour cela. Cela peut toutefois représenter beaucoup pour le journaliste. Certains bogues peuvent être payés pour moins de cent dollars. Dans les cas extrêmes, cependant, certaines entreprises ont payé cent mille dollars pour de graves vulnérabilités. Bien sûr, la plupart des primes sont bien inférieures à cela.
Historiquement, les primes de bogue ont été beaucoup plus faibles et parfois plus d'un simple merci. Envoyer un tee-shirt gratuit ou fournir un abonnement gratuit à vie au service, par exemple. Les grandes entreprises technologiques ont cependant stimulé le marché, tout comme l'arrivée des plateformes de primes de bogues. Les plateformes de primes de bogues sont des sites Web qui hébergent les programmes de primes de bogues de nombreux clients. Ils regroupent tout en un seul endroit. Il est ainsi beaucoup plus facile pour une petite organisation de gérer un système de primes de bogue. L'une des façons d'y parvenir est simplement de normaliser le processus.
Bien sûr, la récompense d'une prime de bogue est bien inférieure à ce qui pourrait être obtenu en vendant le bogue sur le marché noir. Le concept fait confiance au fait que, généralement, la plupart des gens veulent faire ce qu'il faut. Ou du moins, ils ne veulent pas que le risque d'enfreindre la loi revienne les hanter.
Conclusion
Une prime de bogue est un système de paiement d'une récompense pour la découverte et la divulgation responsable d'une vulnérabilité de sécurité. Il encourage activement les utilisateurs à tester et à améliorer la sécurité des produits. Cela apporte de nombreux nouveaux regards sur le processus de test, le tout à un coût minime pour l'entreprise. Bien sûr, en tant que participant à un système de primes de bugs, il est essentiel d'être prudent et de comprendre les règles.
Le piratage est illégal ; le programme bug bounty permet de tester certaines choses mais inclut généralement des limitations. Si vous ne respectez pas les règles, vous pouvez être pénalement responsable. Si vous suivez les règles, trouvez et signalez un bogue, vous pourriez obtenir un bon paiement et augmenter la sécurité pour vous et les autres utilisateurs.
Chrome, par défaut, ne vous montre pas l'URL complète. Vous ne vous souciez peut-être pas trop de ce détail, mais si, pour une raison quelconque, vous avez besoin d'afficher l'URL complète, des instructions détaillées sur la façon de faire en sorte que Google Chrome affiche l'URL complète dans la barre d'adresse.
Reddit a encore modifié sa conception en janvier 2024. La refonte peut être vue par les utilisateurs de navigateurs de bureau et réduit le flux principal tout en fournissant des liens.
Taper votre citation préférée de votre livre sur Facebook prend du temps et est plein d'erreurs. Découvrez comment utiliser Google Lens pour copier du texte de livres sur vos appareils.
Parfois, lorsque vous travaillez sur Chrome, vous ne pouvez pas accéder à certains sites Web et obtenez une erreur « L'adresse DNS du serveur fixe est introuvable dans Chrome ». Voici comment résoudre le problème.
Les rappels ont toujours été le point fort de Google Home. Ils nous facilitent sûrement la vie. Faisons un tour rapide sur la façon de créer des rappels sur Google Home afin de ne jamais manquer de faire des courses importantes.
Nous avons tous des Snaps que nous souhaitons garder privés, qu'il s'agisse de photos personnelles ou simplement de quelque chose que vous ne voulez pas que quiconque utilise votre téléphone puisse voir. Vous pouvez déjà créer des histoires privées sur Snapchat, et désormais, pour ces Snaps privés supplémentaires, vous pouvez protéger votre confidentialité sur Snapchat avec la fonctionnalité My Eyes Only Snapchat.
Votre disque de stockage interne de 825 Go de votre PlayStation 5 semble beaucoup, mais les jeux vidéo modernes peuvent être volumineux. De nombreux titres exigent plus de 50 Go, certains dépassant même 100 Go.
Lorsque vous souhaitez envoyer le même e-mail à vos clients, employés, membres de club ou à un groupe similaire, vous pouvez saisir un e-mail une fois et envoyer un message à tout le monde à l'aide de l'outil de fusion et publipostage Gmail. Autrefois surnommée fonctionnalité « envoi multiple », le publipostage dans Gmail vous permet d'insérer des contacts Google ou une liste de diffusion à partir de Google Sheets.
Comment changer votre mot de passe sur le service de streaming vidéo Netflix à l'aide de votre navigateur préféré ou de votre application Android.
Parfois, les applications peuvent se charger lentement, planter ou occuper trop d'espace de stockage. Effacer les données mises en cache de votre téléphone peut aider à résoudre ces problèmes et à libérer de l'espace pour d'autres fichiers importants.
