Bug Bounty Hype: Bezpečnost v prachu

bug bounty programs EU

V lednu zahájila Evropská unie více než tucet nových “Bug Bounty” programů zaměřených na spoustu populárních open-source programů, které používají její členové. To se mělo setkat s úspěchem, místo toho však spuštění vyvolalo neočekávanou reakci ze strany bezpečnostní komunity.

Program EU byl určitě dobře zamýšlený – také honosný. Motivace pro lovce bugů – celkem 1 milion dolarů, ve výplatách za nalezení slabých míst ve volných open-source projektech, jako je Filezilla, Apache Kafka a VLC Media Player.

Proč tedy odpor? Bezpečnostní experti argumentovali, že program odměn se příliš soustředil na výplaty odměn za nalezení chyb. Namísto toho argumentovali prostřednictvím sociálních médií, že organizace jako EU by se měly zaměřit na investice do zabezpečení interně, aby lépe zabezpečily své vlastní produkty – od vývojových fází až po nasazení.

Posun EU od bezpečnostní komunity odráží jemnou změnu v postoji k programům odměn. Jak se stávají hodně populárními, mnoho programů ztratilo ze zřetele důvod, proč byly zahájeny: zvýšit celkovou bezpečnost.

Bug bounty programy nadále rostou, nedávná studie vpnMentor ukazuje, že letos existuje již více než 700 programů. Zpráva HackerOne z roku 2018 ukazuje, že přijetí programů odměn za chyby v Severní Americe vzrostlo od loňského roku o 37 procent. Latinská Amerika je region s nejrozsáhlejším přijetím programů odměn, což představuje meziroční nárůst o 143%.

Ale jak se daří programům odměn, tak se bezpečnostní experti obávají, že někteří – stejně jako EU – se příliš zaměřují na třpytivé PR koncepty a ne na vlastní bezpečnost.

Odborníci argumentují, že miliony dolarů, které se dostanou do programů odměn za chyby, by mohly být použity pro další, účinnější způsoby zabezpečení produktů a řešení.

Zdroj: threatpost.com

Související články

Leave a Comment