برنامه‌ی ویژه‌ی سامسونگ برای پرداختن جایزه به ازای شناسایی آسیب‌پذیری در محصولات این شرکت

سامسونگ، Bugcrowd را که در برنامه‌ی پاداش در ازای اشکال امنیت تلفن‌همراه،  برای هر آسیب پذیری تا ۲۰۰ هزار دلار پیشنهاد می‌کند، می‌پذیرد. Bugcrowd یک مقیاس امتیاز‌دهی به آسیب‌پذیری‌ها است و بر اساس میزان خطر آسیب‌پذیری، آن‌ها را دسته‌بندی می‌کند.

برنامه‌های پاداش در ازای اشکال، راه‌حل‌های مقرون به صرفه‌ای برای شکاف مهارت‌های امنیتی هستند. در سال ۲۰۱۵ میلادی، Dice گزارش داد که یک مهندس مدیریت امنیت نرم‌افزار می‌تواند سالانه بیش از ۲۰۰ هزار دلار هزینه داشته باشد، در حالی که  مدیریت امنیت و فعالیت یک مهندس امنیت می‌تواند ۱۵۰ هزار دلار هزینه‌ی جداگانه داشته باشد.

 

 

استخدام یک گروه داخلی برای کاوش مداوم محصولات، نرم‌افزارها، ثابت‌افزارها و تمام به‌روزرسانی‌های مربوط به اشکالات امنیتی به سرعت به یک فعالیت پرهزینه تبدیل می‌شود، که هیچ تضمینی برای موفقیت آن نیست.

عدم کشف و رفع اشکالات امنیتی و آسیب‌پذیری‌ها قبل از این‌که توسط مجرمان سایبری مورد بهره‌برداری قرار گیرند، می‌تواند به سرعت با افزایش هزینه روبرو شود.

پاداش در ازای اشکال کمک می‌کند تا این مشکل با بهره‌برداری از بزرگ‌ترین بازار موجود در زمینه‌ی تخصص امنیتی بالا(جامعه‌ی نفوذگران کلاه‌سفید) و تنها با پرداختن به نتایج حل شود. پاداش‌های مناسب نفوذگران کلاه‌سفید را بیشتر تشویق می‌کند تا از اخلاقیات افشاء مسئولانه برای تمام آسیب‌پذیری‌های کشف‌شده پیروی کنند. عوامل اجرایی برنامه‌ی پاداش در ازای اشکال شخص ثالث با اجرای طرح پاداش از طرف فروشنده، هزینه‌ و زحمات مدیریتی آن را کاهش می‌دهد.

برنامه‌ی Bugcrowd سال ۲۰۱۷ میلادی نشان می‌دهد که: « گزارش برنامه‌ی پاداش در ازای اشکال نه تنها رشد مداوم مدل پاداش در ازای اشکال، بلکه پذیرش آن در سازمان‌ها را مورد توجه قرار می‌دهد که این برنامه‌های پاداش در ازای اشکال شرکت‌ها در سال گذشته،  ۳ برابر بیشتر از سال قبل است.»

 

 

در حال حاضر Bugcrowd این بیانیه را با اعلام این‌که از امروز فرآیند پرداخت برنامه‌های پاداش امنیت تلفن‌همراه سامسونگ را که در ماه سپتامبر سال ۲۰۱۷ میلادی راه‌اندازی شده مدیریت خواهد کرد، تایید کرد و گفت: «سامسونگ با اتخاذ یک برنامه‌ی پاداش در ازای اشکال که تمام محصولات تلفن‌همراه را پوشش می‌دهد، نه تنها به قدرتمندترین مجموعه منابع موجود دسترسی پیدا می‌کند، بلکه تعهد خود را در مورد امنیت نشان می‌دهد. ما افتخار می‌کنیم که با چنین سازمان امنیت محوری کار می‌کنیم تا با استفاده از دستگاه‌های تلفن‌همراه به کاهش خطر برای میلیون‌ها مشتری کمک کنیم.»

برنامه‌ی Bugcrowd در حال حاضر، برنامه‌های پاداش مربوط به بیش از ۷۰ شرکت مختلف (همه‌ی آن‌ها پاداش مالی پیشنهاد نمی‌دهند) از جمله، شرکت‌های امنیتی BitDefender، Centrify، NETGEAR، 1Password، Okta، Cylance، LastPass را اجرا می‌کند و شرکای تجاری عبارتند از MasterClass، فیات کرایسلِر، اتحادیه تِسلا و وِسترن. برنامه پاداش امنیت تلفن‌همراه سامسونگ به پژوهشگران امنیتی برای هر آسیب‌پذیری بسته به شدت آن تا ۲۰۰ هزار دلار پاداش می‌دهد.

انتظار می‌رود که پژوهشگران، اطلاعات هر آسیب‌پذیری را تا زمانی که چاره‌ای برای آن وجود داشته باشد، محرمانه نگه دارند، اما سامسونگ ظرف ۴۸ ساعت یک پاسخ اولیه ارائه خواهد داد و برای انتشار یک وصله طی ۹۰ روز آینده نهایت تلاش خود را خواهد کرد.

دبیر ارشد گروه فن‌آوری‌های امنیت تلفن‌همراه شرکت ارتباطات تلفن‌همراه سامسونگ، هنری لی (Henry Lee) گفت: «برنامه‌ی پاداش امنیت تلفن‌همراه ما، یکی دیگر از ابتکارات سامسونگ برای تعهد بیشتر است. Bugcrowd با اطمینان از این‌که جامعه‌ی پژوهشگران به موقع پرداخت‌ها را دریافت می‌کند، به تقویت مشارکت با جامعه‌ی پژوهش امنیتی کمک می‌کند.»

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید