Bug bounty programs sering dimulai untuk melengkapi audit kode internal dan penetration tests sebagai bagian dari strategi untuk manajemen vulnerability.
Banyak vendor perangkat lunak dan website yang menjalankan program bug bounty, hadiah uang tunai untuk para peneliti keamanan dan hacker white hat yang melaporkan kerentanan perangkat lunak dan berpotensi untuk dieksploitasi. .
Bug reports atau laporan bug harus terdokumentasi dengan baik dengan informasi bagaimana bug ditemukan dan dampak dari bug tersebut. Biasanya, jumlah pembayaran sepadan dengan ukuran perusahaan, tingkat kesulitan dalam meretas sistem dan seberapa besar dampak yang ditimbulkan.
Mozilla membayar rata - rata $3,000 untuk bug yang sesuai dengan kriterianya, sementara Facebook telah memberikan sebanyak $20,000 untuk laporan bug tunggal.
Google membayar reporter bug sistem operasi Chrome yang jumlah total mencapai $700,000 di tahun 2012 dan Microsoft membayar peneliti keamanan James Forshaw $ 100.000 untuk kerentanan serangan di Windows 8.1.
Pada tahun 2016, Apple mengumumkan hadiah yang maksimal $200.000 untuk cacat pada komponen firmware secure boot dan hingga $50,000 untuk eksekusi kode arbitrer dengan hak akses kernel atau akses iCloud yang tidak sah.
Meskipun penggunaan jasa ethical hackers untuk menemukan bug bisa sangat efektif, program ini juga bisa menjadi kontroversi. Untuk membatasi potensi risiko, beberapa organisasi menawarkan program bounty bug tertutup. Untuk bisa berpartisipasi, para hacker harus memiliki atau diundang untuk mengikuti program ini. Apple, misalnya, telah membatasi partisipasi program bug bounty hanya berdasar undangan atau invitasi dari perusahaan.
Add your comment Hide comment