漏洞赏金计划
据一个估计 ,每年发布的代码行超过1000亿行,并且连接到Internet的软件比例越来越高。 有了更多的连接代码,黑客就有更多风险连接到该代码以达到自己的邪恶目的。
有了获得被泄露代码的机会, 漏洞赏金计划正在蓬勃发展。 尽管很积极,但它们只是提供卓越安全性的一种方式。
尽管漏洞赏金并不新鲜-至少可以追溯到1983年-但它们的受欢迎程度正在日益提高。 在过去的几年中,成千上万美元(以及由VC资助的初创公司,如HackerOne和Bugcrowd)涌入了市场,以解决通过Internet连接轻松访问的bug。
幸运的是,道德黑客的数量和质量都达到了临界水平。 IT部门最终发现,扫描仪和渗透测试(也称为笔测试),尽管可能还不错,但它们并没有发现所有安全漏洞。 同时,美国联邦政府一直在通过建议,框架和即将颁布的立法来推动变革。
同时,虽然公司通常将脏软件的洗衣房关在门后,但从“安全的封闭心态到开放的心态”却有一个“巨大的转变”,就像我们看到的那样。向拥抱开源软件的转变。 公司终于意识到,合并防御是最好的防御,” HackerOne首席执行官Marten说,“透明性对于安全性是有好处的。”
所有这些都很棒,但这并不一定意味着企业已经将安全性准则纳入了公司。 安全不是技术或产品,而是安全。 这是每个人都遵循(或应该)的日常纪律。 这是理想,但它超出了兑现的理想。
使代码开源是公司可以迫使自己更加重视安全性的一种关键方法:如果您开放代码以供所有人查看,则可能会更加谨慎。
这也渗入了良好安全流程的另一个因素:一种敏捷性,使其可以采取行动。 Mickos说:“安全是要克服威胁,因此至关重要的是要做好在事件发生时Swift做出React的准备。” 开源不一定提供本质上更安全的软件(尽管它可能会促使开发人员在编写代码时更加谨慎),但它确实提供了更快发现和修复缺陷的方法。
当然,这并不是说缺陷将被发现或得到纠正,开发人员及其管理人员必须投入资源来实际完成这项工作。 实际上,甚至不是所有启动错误赏金计划的公司都致力于实际修复错误。
但是,对于那些准备在其代码中发现并消除安全漏洞的公司而言,再没有比现在更好的时间利用各地的白帽黑客的力量了。 互联代码已经推出了旨在利用代码漏洞的新一代黑帽黑客,但是白帽黑客也决定(并且有能力)将其关闭。
充分利用这些白帽子黑客来帮助您保护代码。 在发布代码以减少任何安全漏洞之前,仍然要做所有其他安全工作 ,从注重安全的设计到代码漏洞分析,再到(是)笔测试。
漏洞赏金计划
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
