Bug Bounty
Bug Bounty چیست؟
Bug Bounty به این امید ارائه میشوند که آسیبپذیریهای امنیتی قبل از اینکه توسط یک بازیگر شرور مورد سوء استفاده قرار گیرند، شناسایی و به صاحب نرمافزار گزارش شوند. در کریپتو، Bug Bounty اغلب توسط کسبوکارهای ارزهای دیجیتال مانند پروتکلها، صرافیها و اپراتورهای کیف پول ارائه میشوند. طرحهای Bounty را میتوان به عنوان رقابت بین هکرهای دوستانه در نظر گرفت. طرحها بهصورت عمومی باز میشوند و شرکتی که Bug Bounty را ارائه میکند (از لحاظ نظری) میتواند هر آسیبپذیری شناساییشده را قبل از اینکه برای بازیگران بد شناخته شود اصلاح کند. در بیشتر موارد، Bug Bounty ها بر اساس شدت آسیبپذیری شناساییشده ارزشگذاری میشوند. طبق گزارش HackerOne، تقریباً 900000 دلار Bug Bounty تنها در سال 2018 پرداخت شده است. ارزش Bounty های فردی میتواند بسیار پایین باشد و معمولاً شرکتها برای شناسایی آسیبپذیریهای کمشدت حدود ۱۰۰ دلار به عنوان Bounty (جایزه) پرداخت میکنند. با این حال، آسیبپذیریهای حیاتی گاهی اوقات میتوانند Bounty های 10000 دلاری یا بیشتر را به خود جذب کنند. برخی از هکرها مبالغ قابل توجهی برای شناسایی Bug ها کسب میکنند. Guido Vranken، محقق هلندی، 12 Bug را در مدت یک هفته شناسایی کرد و در ازای آن 120000 دلار توسط EOS پرداخت شد. از دیدگاه صاحب نرم افزار، Bug Bounty ها به عنوان یک فعالیت امنیتی تکمیلی در نظر گرفته می شود که علاوه بر سایر اقدامات پیشگیرانه استفاده می شود.
مهم ترین اولویت برای توسعه دهندگان، ساخت کد ایمن و به حداقل رساندن آسیب پذیری ها قبل از ارسال محصول است. با این حال، حتی دقیقترین توسعهدهندگان نیز به ناچار Bug ها را از دست میدهند و برخی از آنها ممکن است خطرات امنیتی ایجاد کنند. بنابراین، Bug Bounty ها بهعنوان خط دوم دفاعی مهم برای محافظت از صاحبان نرمافزار و کاربران در برابر بازیگران بد عمل میکنند.