» »

Yahoo bo začel nagrajevati ranljivosti z več kot le majicami

Yahoo bo začel nagrajevati ranljivosti z več kot le majicami

Yahoo News - Najdražji in najbolj nehvaležen del pisanja programske opreme je testiranje in iskanje ranljivosti. Neposredne dodane vrednosti to ne prinaša, zgolj stroške, a lahko prihrani velike stroške v prihodnosti. Podjetja poizkušajo to delo naprtiti zunanjim izvajalcem na različne načine, pri čemer je eden izmed najučinkovitejših načinov nagrajevanje ranljivosti. Nekaj stotakov ali tisočakov za odkrito ranljivost je malenkost v primerjavi s ceno, ki bo jo imel redno zaposleni strokovnjak ali bolje cela armada takih ljudi v podjetju. Zato ni presenetljivo, da imajo Facebook, Google, Mozilla, Microsoft in številna druga podjetja posebne programe (bug bounty), kako finančno nagradijo prijavljene ranljivosti.

Yahoo pa tega doslej ni imel. Kdor je Yahooju poslal podatke o ranljivosti, je od podjetja dobil kratek hvala, to pa je bilo tudi vse. Ramses Martinez, vodja Yahoojeve varnostne skupine, je na lastno pest začel ljudem, ki so odkrili kakšno ranljivost, pošiljati Yahoojeve majice in bone za 12,5 dolarja za nakup Yahoojevega materiala. Vse to je skupina sfinancirala sama in na lastno pest. Kot je dejal Martinez, niso imeli nobenega formalnega programa za nagrajevanje odkritih ranljivosti, le sam je želel storiti lepo gesto.

Pot v pekel je tlakovana z dobrimi nameni. Ko je švicarsko podjetje High-Tech Bridge za odkrito ranljivost v XSS (cross-site scripting) prejelo le bon v višini 12,5 dolarja, se je nad Yahoo zgrnilo ogorčenje spletne javnosti, da gre za norčevanje. Zato je Martinez že vnaprej obelodanil spremenjeno politiko, ki bo začela veljati novembra, in pojasnil, od kod so se vzele majice. Yahoo bo vzpostavil formalno nagrajevanje ranljivosti v višini 150-15.000 dolarjev, odvisno od resnosti in zapletenosti. Še več, veljala bo retroaktivno, tako da bodo nagrade prejeli tudi vsi tisti, ki so napake javili po 1. juliju, pa jim je Yahoo poslal le majico.

2 komentarja

filip007 ::

Odličen način, najbolje, da se sama med sabo napadajo in draga drugemu plačuje pa je, najmanj dela.
Trevor Philips Industries

Pithlit ::

filip007 je izjavil:

Odličen način, najbolje, da se sama med sabo napadajo in draga drugemu plačuje pa je, najmanj dela.

Saj to že delajo. Sam da smetano pobirajo odvetniki (Samsung vs. Apple vs. Motorola vs. ...).
Life is as complicated as we make it...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Apple ponuja milijon dolarjev za odkrite ranljivosti

Oddelek: Novice / Varnost
74279 (3328) MrStein
»

Za vdor v iPhone poldrugi milijon dolarjev

Oddelek: Novice / Varnost
64447 (2774) no comment
»

Google Zero bo iskal hrošče tudi v tujih programih

Oddelek: Novice / Varnost
156246 (5000) chironex
»

VUPEN že odkril ranljivosti v Windows 8

Oddelek: Novice / Varnost
135276 (4044) ender
»

Facebook širi program nagrajevanja odkritih ranljivosti

Oddelek: Novice / Varnost
53670 (2729) Jst

Več podobnih tem