Adobe lançou um programa de recompensas bug que distribui alta de cinco anos, e não em dinheiro.
O programa de divulgação de vulnerabilidades de aplicativos web anunciou hoje lançado no mês passado e opera através HackerOne usado pelos gostos de Twitter , Yahoo !, e CloudFlare, alguns dos quais oferecem dinheiro ou outras recompensas para aqueles que divulgar messes de segurança.
O programa da Adobe procura falhas comuns, incluindo cross-site scripting; privilegiada cross-site request forgery; server-side execução de código; autenticação e autorização falhas; vulnerabilidades de injeção; passagem de diretório; divulgação de informações e erros de configuração de segurança significativo.
"Em reconhecimento do importante papel que os pesquisadores de segurança independentes jogar em manter clientes da Adobe seguro, hoje Adobe lança um aplicativo web programa de divulgação de vulnerabilidades na plataforma HackerOne", escreveu gerente Adobe programa de segurança Pieters Ockers.
"Caçadores de bugs que se identificam a vulnerabilidade de aplicativos web em um serviço online Adobe ou propriedade da web agora podem divulgar particular a questão a Adobe ao mesmo tempo aumentando sua HackerOne pontuação de reputação."
Hackers terá de ser o primeiro em para relatar uma falha e oferecer Adobe tempo "razoável" para corrigir as falhas antes da divulgação pública, diz Ockers.
Vulnerabilidades menores, como o Excluem-se:
- Sair e outras instâncias de baixa gravidade pedido cross-site falsificação
- Questões percebidas com links de redefinição de senha
- Falta de segurança cabeçalhos HTTP
- Faltando bandeiras do bolinho de cookies não sensíveis
- Clickjacking em páginas estáticas
O anúncio vem como AirBnB esta semana lançou sua generosidade bug na plataforma HackerOne popular.
Generosidades Bug funcionam melhor quando eles oferecem dinheiro, de acordo com o engenheiro BugCrowd de Drew Sing. Em diretrizes do programa de vulnerabilidade publicadas julho ele diz dinheiro é o melhor incentivo para incentivar os investigadores a realizar testes mais regular e intensa de produtos e serviços.
"A questão de segurança de alta prioridade manuseados incorretamente pode danificar a reputação da organização ... o desenvolvimento, TI e equipe de comunicação são todos os componentes críticos para um programa de sucesso", diz Sing.
O serviço bug gestão recomenda generosidades deve ser publicado em um local óbvio em sites, preferencialmente localizado com o subdomínio / segurança, e ostentar um contato de segurança dedicado, que é bem-informados em divulgações de manuseio.
Então, por que a Adobe decidiu cred rua, não em dinheiro, é o caminho a percorrer? Wags pode se perguntar se os produtos infame porosas da empresa tem tantos erros que uma recompensa em dinheiro poderia amolgar a linha de fundo. ®
Nenhum comentário:
Postar um comentário