تشجع برامج Bug Bounty أو “Bug Bounties” المراسلين بما في ذلك مكتشفي الثغرات(vulnerability finders) والباحثين والمتسللين الأخلاقيين(Ethical hackers) وما إلى ذلك على تقديم نقاط الضعف إلى منظمة للحصول على مكافآت مالية عادةً، ببساطة يعد برنامج Bug Bounty بمثابة وظيفة داعمة لبرنامج الكشف عن الثغرات الأمنية ( Vulnerability Disclosure Program-VDP) الحالي، حيث تجني المؤسسات فوائد VDPs وبرامج Bug Bounty لأنها تسمح لمجموعة متنوعة من الأشخاص خارج المؤسسة باختبار نقاط الضعف.
ما هي مكافاة الاخطاء (A Bug Bounty)؟
هي مكافأة مالية تُمنح للمخترقين الأخلاقيين(Ethical hackers) لاكتشاف ثغرة أمنية أو خطأ والإبلاغ عنه بنجاح إلى مطور التطبيق و تسمح برامج الـBug Bounty للشركات بالاستفادة من مجتمع القراصنة لتحسين الوضع الأمني لأنظمتهم بمرور الوقت بشكل مستمر.
ما الفرق بين برامج مكافأة الأخطاء الخاصة والعامة؟
عندما تقوم المؤسسات بإنشاء مكافأة اكتشاف الأخطاء، يمكنها اختيار القيام بذلك بشكل خاص أو عام، حيث تسمح مكافأة الأخطاء الخاصة للمنظمة بدعوة باحثين محددين إلى البرنامج، نظرًا لوجود عدد محدود من المراسلين(reporters) في أي وقت، يكون حجم تقارير الثغرات الأمنية أقل عادةً، قد تختار المؤسسات التي بدأت للتو برنامجًا خاصًا قبل البرنامج العام نظرًا لانخفاض حجم التقارير، و قد توفر البرامج الخاصة التي توفر فحص المشاركين المزيد من الضوابط ونتائج ذات جودة أعلى.
من ناحية أخرى، تكون البرامج العامة مفتوحة لأي مراسل عن الثغرات الأمنية لأن برامج مكافأة الأخطاء العامة ليست مجرد دعوة، حيث يجب أن تكون المؤسسات مستعدة لارتفاع كبير في التقارير إذا انتقلت من برنامج خاص إلى برنامج عام.
Cisco و برنامج مكافأة الأخطاء
لدى العديد من فرق منتجات Cisco حاليًا برامج مكافأة الأخطاء، معظم مكافآت الأخطاء في Cisco خاصة وتتم إدارتها بواسطة منصات مختلفة لمكافآت الأخطاء مثل HackerOne وBugcrowd، لدى Meraki وKenna Security برامج مكافآت عامة للأخطاء ويمكن العثور على التفاصيل على https://bugcrowd.com/ciscomeraki وhttps://bugcrowd.com/kennasecurity على التوالي.
كيف يمكن المشاركة في برنامج مكافآت الأخطاء من Cisco؟
يمكن للباحثين الأمنيين المشاركة في برامج المكافآت العامة Meraki وKenna Security، حيث تتم إدارة برامج مكافآت الأخطاء الخاصة من Cisco بواسطة منصات مختلفة لمكافآت الأخطاء، ويتم دعوة الباحثين الأمنيين بشكل خاص من قبل هؤلاء المزودين.
كيف تكشف شركة Cisco عن نقاط الضعف الموجودة في برامج مكافآت الأخطاء؟
تكشف Cisco عن جميع الثغرات الأمنية وفقًا لسياسة الثغرات الأمنية المعمول بها على:
https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html
م.أمـــل عبـــدالكـــريـــم الأصــــبحي،،،
مصدر المعلومات موقع : Cisco
