Met hoe complex software is, is het een uitdaging om ervoor te zorgen dat er geen bugs zijn. Dit is gewoon de gang van zaken die door mensen zijn ontworpen en zeer complex zijn. Om het probleem te minimaliseren, nemen softwareontwikkelingsbedrijven codebeoordelingen op in hun levenscyclus van softwareontwikkeling. Maar zelfs een zorgvuldige beoordeling door experts kan niet alles opvangen. De zeer real-time en budgettaire beperkingen verergeren dit. Hierdoor vinden bugs hun weg naar productiesystemen. Sommige bugs hebben weinig of geen effect, maar andere kunnen vervelende beveiligingsproblemen introduceren.
Een beveiligingslek is een categorie bugs die de beveiliging van het systeem op de een of andere manier aantast. Er is een breed scala aan mogelijke resultaten, maar uiteindelijk zijn alle beveiligingsproblemen slecht voor iedereen. Helaas kan het vinden van bugs moeilijk en tijdrovend zijn. Hoewel ontwikkelaars slechts een beperkte hoeveelheid tijd kunnen besteden aan het testen op bugs, besteedt een andere groep gecombineerd veel meer tijd aan het gebruik van de applicatie: de gebruikers.
Gecombineerde gebruikers van een systeem besteden enorm veel meer tijd aan een systeem dan de ontwikkelaars van dat systeem ooit zouden kunnen. Ze gebruiken ook een veel grotere verscheidenheid aan apparaten. Gecombineerd is dit de perfecte omgeving voor het vinden van bugs - veel ogen en randgevallen.
De gebruikers aan het werk zetten
De traditionele manier om gebruikers te gebruiken om bugs op te lossen, is door een foutrapportagefunctie te hebben waarmee gebruikers een bug kunnen melden die ze tegenkomen. De ontwikkelaars kunnen deze informatie gebruiken om het probleem te repliceren, te identificeren en op te lossen. Het probleem is dat er een minimale stimulans is voor de gebruiker om eventuele problemen te melden. Het is een proces dat tijd kost, mogelijke implicaties voor de privacy heeft en over het algemeen geen feedback oplevert, zelfs niet als het probleem is opgelost.
Beveiligingsproblemen zijn nog erger. Een kwaadwillende gebruiker kan ervoor kiezen om actief gebruik te maken van een gevonden kwetsbaarheid. Afhankelijk van het probleem kan het mogelijk zijn om toegang te krijgen tot iets waardevols, hetzij op de zwarte markt, hetzij door losgeld of chantage. Als alternatief is het mogelijk om kennis van de kwetsbaarheid op de zwarte markt te verkopen. Hoe dan ook, gebruikers worden niet gestimuleerd om bugs te melden en worden ontmoedigd om beveiligingsproblemen te melden.
De tafels omdraaien
Een bug bounty-systeem is een manier om de rollen om te draaien en het actief melden van beveiligingsproblemen aan te moedigen. De methode is eenvoudig en beloont ze. De standaardmethode is het betalen van een geldboete en het geven van openbare erkenning van de bijdrage. Dit beloont gebruikers direct voor het melden van een beveiligingsprobleem en moedigt hen aan om het juiste te doen.
Bug bounty-systemen staan doorgaans open voor iedereen. Elke gebruiker die een beveiligingsprobleem identificeert, kan dit melden en betaald krijgen. Er zijn echter enkele kanttekeningen. Om betaald te worden, moet u over het algemeen de eerste persoon zijn die een probleem meldt, hoewel er soms zeldzame uitzonderingen zijn in uitzonderlijke omstandigheden. Je moet je ook aan de regels houden.
De regels van een bug bounty-systeem bieden algemene bescherming tegen juridische stappen als u zich eraan houdt. Ze zijn vaak gedetailleerd maar relatief eenvoudig. Krijg geen toegang tot de gegevens van anderen, maak geen kwaadwillig gebruik van kwetsbaarheden en maak ze privé en op verantwoorde wijze bekend. Er kunnen ook dingen zijn die als verboden terrein worden beschouwd.
Hoe zijn de beloningen?
Realistisch gezien zijn de beloningen gebaseerd op goodwill. Er is ook een element van "als dit een datalek zou veroorzaken, zouden we een veel hogere boete moeten betalen." Over het algemeen betaalt het bedrijf er een relatief laag bedrag voor. Dit kan echter best veel zijn voor de verslaggever. Sommige bugs kunnen voor minder dan honderd dollar worden betaald. In extreme gevallen hebben sommige bedrijven echter honderdduizend dollar betaald voor ernstige kwetsbaarheden. Natuurlijk zijn de meeste premies veel lager dan dat.
Historisch gezien waren bugpremies veel lager en soms meer een simpel bedankje. Bijvoorbeeld door een gratis T-shirt op te sturen of een gratis levenslang abonnement op de dienst aan te bieden. Grote technologiebedrijven hebben de markt echter een boost gegeven, evenals de komst van bug bounty-platforms. Bug bounty-platforms zijn websites die de bug bounty-programma's van veel klanten hosten. Ze groeperen alles op één plek. Dit maakt het voor een kleinere organisatie veel gemakkelijker om een bug bounty-systeem uit te voeren. Een van de manieren waarop het dit doet, is simpelweg door het proces te standaardiseren.
Natuurlijk is de beloning in een bugbounty veel minder dan zou kunnen worden verkregen door de bug op de zwarte markt te verkopen. Het concept vertrouwt erop dat de meeste mensen over het algemeen het juiste willen doen. Of ze willen in ieder geval niet dat het risico van het overtreden van de wet hen blijft achtervolgen.
Conclusie
Een bug bounty is een systeem waarbij een beloning wordt betaald voor het vinden en op verantwoorde wijze onthullen van een beveiligingslek. Het moedigt gebruikers actief aan om de beveiliging van producten te testen en te verbeteren. Het brengt veel nieuwe ogen naar het testproces, en dat alles tegen minimale kosten voor het bedrijf. Als iemand die deelneemt aan een bug bounty-systeem, is het natuurlijk essentieel om voorzichtig te zijn en de regels te begrijpen.
Hacken is illegaal; het bug bounty-programma staat het testen van sommige dingen toe, maar bevat meestal beperkingen. Als u zich niet aan de regels houdt, kunt u strafrechtelijk aansprakelijk worden gesteld. Als je de regels volgt, een bug vindt en rapporteert, kun je een mooie uitbetaling krijgen en de veiligheid voor jezelf en andere gebruikers verhogen.
Chrome toont standaard niet de volledige URL. Dit detail interesseert u misschien niet zoveel, maar als u om wat voor reden dan ook de volledige URL wilt weergeven, vindt u gedetailleerde instructies over hoe u Google Chrome de volledige URL in de adresbalk kunt laten weergeven.
Reddit veranderde hun ontwerp opnieuw in januari 2024. Het herontwerp is zichtbaar voor desktopbrowsergebruikers en vernauwt de hoofdfeed en biedt links
Het typen van je favoriete citaat uit je boek op Facebook kost tijd en zit vol met fouten. Ontdek hoe u Google Lens gebruikt om tekst uit boeken naar uw apparaten te kopiëren.
Soms, wanneer u in Chrome werkt, heeft u geen toegang tot bepaalde websites en krijgt u de foutmelding 'Fix Server DNS-adres kan niet worden gevonden in Chrome'. Hier ziet u hoe u het probleem kunt oplossen.
Herinneringen zijn altijd het belangrijkste hoogtepunt van Google Home geweest. Ze maken ons leven zeker gemakkelijker. Laten we een korte rondleiding geven over hoe u herinneringen kunt maken op Google Home, zodat u nooit belangrijke boodschappen hoeft te doen.
Hoe u uw wachtwoord op de Netflix-streamingvideoservice kunt wijzigen met uw favoriete browser of Android-app.
Als u het bericht Pagina's herstellen op Microsoft Edge wilt verwijderen, sluit u gewoon de browser of drukt u op de Escape-toets.
Als uw Bitwarden-wachtwoordhint verbeterd kan worden, zijn dit de stappen om deze in minder dan een minuut te wijzigen.
Als uw afbeeldingen niet in een Google-document worden weergegeven, kan het probleem verschillende redenen hebben. Hier zijn enkele mogelijke oplossingen
Beheers de toepassing Google Spreadsheets door te leren hoe u kolommen kunt verbergen en zichtbaar maken. U kunt dit doen op zowel computers als mobiele apparaten.
