En este mundo, no existe la seguridad perfecta.
Cada aplicación o servicio que usa, incluso los sitios web que visita, tienen errores de seguridad. Las empresas pasan por rondas repetidas de pruebas, revisiones de códigos y auditorías, a veces incluso contratando a terceros. Los errores se pierden, esa es la vida, y sucede, pero cuando se descubren, las empresas pueden ser pirateadas.
Ahí es donde entra en juego una recompensa por errores. Una recompensa por errores es una política de puertas abiertas para cualquiera que encuentre un error o una falla de seguridad; son fundamentales para canalizar esas vulnerabilidades de regreso a su equipo de desarrollo para que puedan repararse antes de que los malos actores puedan explotarlas.
Las recompensas de errores son una extensión de su proceso de prueba interno e incentivan a los piratas informáticos a informar errores y problemas y recibir un pago por su trabajo en lugar de dejar caer detalles de una vulnerabilidad de la nada (también conocido como “día cero”) para que cualquier otra persona se aproveche de.
Las recompensas de errores son beneficiosas para todos, pero pagar a los piratas informáticos por errores es solo una parte del proceso. Como suele ser el caso en el que la seguridad se encuentra con la cultura de inicio, lo mejor es poner en marcha el sistema correcto desde el principio.
¿Por qué necesita un programa de divulgación de vulnerabilidades?
Una recompensa por errores es solo una pequeña parte del proceso general de búsqueda y reparación de errores.
Source link