Hasło słownika
Bug bounty
Program nagród za zgłaszanie podatności - organizacja płaci (lub przyznaje inne benefity) za legalne, odpowiedzialne zgłoszenie luk bezpieczeństwa.
Cyberbezpieczeństwokategoria
6aliasy
bug bounty program bounty program program bug bounty program nagród za błędy vulnerability rewards program VRP
Opis
Bug bounty to sformalizowany sposób pozyskiwania zgłoszeń od badaczy bezpieczeństwa. Firma ustala zakres (co wolno testować), zasady odpowiedzialnego ujawniania, SLA na odpowiedzi oraz widełki nagród zależne od wagi luki. Dobrze prowadzony program przyspiesza wykrywanie problemów, a źle prowadzony - zniechęca badaczy i robi PR-owe miny.
Przykłady
- Firma uruchamia bug bounty na platformie typu HackerOne i ustala scope oraz stawki.
- Badacz zgłasza RCE, dostaje potwierdzenie, triage i nagrodę po naprawie.
- Program określa, że testy produkcji są dozwolone tylko bez DoS i bez naruszania danych.