Προβλήματα ασφαλείας που ανακαλύπτονται στις εφαρμογές web της Adobe, μπορούν από εδώ και πέρα να αναφέρονται προσωπικά στην εταιρεία μέσω του νέου προγράμματος Vulnerability disclosure program.
Οι αναφορές γίνονται μέσω της πλατφόρμας HackerOne , την οποία και χρησιμοποιούν πολλές αξιόπιστες εταιρείες, όπως το Dropbox, το Vimeo, το Sucuri, το Twitter, το CloudFlare, η Khan Academy, η Yahoo!, OpenSSL, Python, PHP, Perl ή Ruby.
Ο κατάλογος των προβλημάτων για την Adobe περιλαμβάνει, cross-site scripting (XSS), cross-site request forgery (CSRF), εκτέλεση κώδικα στο διακομιστή, προβλήματα ελέγχου ταυτότητας ή αδειών και διάφορα άλλα bugs που μπορεί να θέσουν σε κίνδυνο τους υπολογιστές.
Η Adobe μάλιστα υιοθετεί το σύστημα των ανταμοιβών και αυτός που θα αναφέρει πρώτος το πρόβλημα στην εταιρεία και δεν θα το δημοσιοποιήσει, μέχρι η εταιρεία να καταφέρει να το διορθώσει, θα έχει κάποιο όφελος.
Θα πρέπει όμως μαζί με την αναφορά του προβλήματος, να παρέχονται και σαφείς οδηγίες για το πώς μπορεί να αναπαραχθεί.
Όλες οι αναφορές θα ελέγχονται από μέλη της ομάδας PSIRT, Product Security Incident Response Team.
Ακόμη δεν είναι σαφές εάν θα υπάρχουν οικονομικές ανταμοιβές. Σε ένα blog post που δημοσιεύθηκε την Τετάρτη, ο διαχειριστής του προγράμματος PSIRT, Pieter Ockers δεν ανέφερε χρηματική ανταμοιβή
…και είπε ότι με το νέο πρόγραμμα, οι bug hunters θα έχουν μια ευκαιρία να αποκαλύψουν τα προβλήματα που βρίσκουν, ενώ ταυτόχρονα θα ανεβάσουν τη βαθμολογία τους στο HackerOne.
Οι περισσότερες εταιρείες με ένα πρόγραμμα αναφοράς ευπαθειών, πληρώνουν για έγκυρες αναφορές σφαλμάτων που θα μπορούσαν να θέσουν σε κίνδυνο την ασφάλεια των προϊόντων τους.
Η στρατηγική αυτή έχει αποδειχθεί ότι είναι ένας αποτελεσματικός τρόπος για να δοθούν κίνητρα σε διάφορους ερευνητές ασφαλείας, να δοκιμάσουν τα προϊόντα και έτσι να επιτευχθεί ο στόχος, των εταιρειών, που είναι να προσφέρουν την καλύτερη προστασία στους πελάτες τους.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου