Disclose veut créer un refuge sécuritaire pour les chercheurs en sécurité

Un nombre croissant d'entreprises tirent parti des programmes de prime aux bogues pour identifier les vulnérabilités et les faiblesses structurelles des logiciels. Mais en dehors de ces programmes formels, informer les fournisseurs sur les questions de sécurité peut être un terrain miné légal.

Certaines entreprises accueillent l'aide de la communauté de sécurité et cherchent à la récompenser avec des primes, des butins et des offres d'emploi. ne répondent pas bien, et répondent avec des menaces légales – ou pire, ils appellent les flics.

Un bon exemple de ce dernier est l'autorité de transport de Budapest (BKK en hongrois), qui a récemment appelé les flics sur un Un chercheur en sécurité âgé de 18 ans après avoir trouvé un moyen d'ajuster le prix des billets de voyage simplement en utilisant les DevTools de Chrome

Comme je l'ai dit, un champ de mines

travailler avec la communauté de sécurité est BugCrowd . Aujourd'hui, l'entreprise a lancé un projet Open Source appelé Disclose qui vise à normaliser la relation entre les vendeurs et les chercheurs

Disclose est essentiellement un ensemble de règles open-source que les vendeurs peuvent adopter. Ils promettent de travailler avec les chercheurs en temps utile et déclarent qu’ils n’agiront pas contre eux quand ils agissent de bonne foi.

En revanche, les chercheurs promettent de respecter un ensemble de lois relatives à la portée, la divulgation, et s'assurer qu'ils n'accèdent qu'à la quantité minimale de données requise pour créer une preuve de concept.

Ce qui rend l'utilisation de Disclose si utile, c'est que les règles sont clairement écrites et peuvent être facilement lues et comprises par quelqu'un qui n'a pas d'antécédents juridiques ou qui ne parle pas l'anglais comme langue maternelle.

La création d'un programme de primes de bogues n'a jamais été aussi facile, grâce à des outils comme HackerOne et BugCrowd aux primes. Ce qui rend Disclose.io si pratique, c'est qu'il permet aux fournisseurs d'établir des règles d'engagement, simplement en copiant-et-collant un peu de texte à partir d'un dépôt GitHub .

C'est si simple, mais je Imaginez qu'une chose simple ait dissuadé des centaines d'entreprises de lancer leurs propres programmes de primes. Et admettons-le, les programmes de primes de bogues sont bons pour les utilisateurs.

En transformant les tests de sécurité des événements annuels effectués par des entreprises de test de pénétration coûteuses en quelque chose qui se passe toute l'année avec l'aide de la communauté de sécurité. logiciel.