bencede
New member
Büyük teknoloji şirketleri genellikle güvenlik açıklarını bildirenlere ödül ödedikleri bir hata ödül programı yürütürler. 2022’de Google, bildirilen 2.900’den fazla güvenlik açığı için 12 milyon ABD dolarından fazla ödeme yaptı.
Sürekli büyüyen bug bounty programı
Google, ödül programını Güvenlik Açığı Ödül Programı (VRP) olarak adlandırır. İlgili Google ekibi, geçen yılın sonuçlarını bir blog gönderisinde özetler. Şirket, 2022’de 703 BT güvenlik araştırmacısına 12 milyon ABD dolarından fazla ödül verildiğini gururla duyurur. Google ürünlerini dünyanın dört bir yanındaki kullanıcılar için daha güvenli hale getirmeye yardımcı olan 2.900’den fazla güvenlik açığı buldular.
Yıllar geçtikçe, bildirilen güvenlik açıkları için ödenen ödül miktarı istikrarlı bir şekilde arttı.
(Resim: Google)
Grup hala bireysel alanları parçalıyor. Örneğin, “Android ve Cihazlar” alanındaki harici BT araştırmacılarına yaklaşık 4,8 milyon ABD doları tutarında ödül ödülü verildi. Cep telefonu işletim sisteminde 200’den fazla güvenlik açığı bildirmişlerdi. ChromeOS tarayıcısını ve işletim sistemini içeren Chrome bölümü, 4 milyon dolar değerinde 470 geçerli güvenlik uyarısı buldu. Yalnızca tarayıcı 363 güvenlik açığından ve 3,5 milyon dolardan sorumluydu.
Google, ilgili güvenlik açığı avcılarını eğitmek için bir Hata Avcısı Üniversitesi bile açtı. Arkasında, geçerli güvenlik açığı raporları oluşturmaya yönelik talimatlar ve yardım yer alır. Google’ın açıkladığı gibi artık nasıl yapılır videoları bile var. Google, özellikle istekli harici BT güvenlik araştırmacıları ve özel olarak davet edilen BT uzmanları için, dahil olanların güvenlikte herhangi bir kusur bulmasalar bile bir “güvenlik açığı araştırma ödeneği” alabilecekleri bir “Güvenlik Açığı Araştırma Hibesi” programı oluşturmuştur. 170 BT güvenlik araştırmacısı, 2022’de bu programdan toplam 250.000 ABD Doları aldı.
Dış kaynaklı kalite güvencesi
Kalite kontrol ve BT güvenliği konusunda yetkin bir kadrolu çalışanın gruba nelere mal olacağını hesapladığınızda, para için BT uzmanlarının bir kısmını bile istihdam edememeleri şaşırtıcıdır. Şirket iyi bir kesim yapıyor ve böylece değerli ve profesyonel işleri son derece ucuza alıyor – sonuçta, BT araştırmacılarının eğitmesi gereken hata mesajının biçimi ve içeriği için de spesifikasyonlar var.
Intel ayrıca bir hata ödül programının parçası olarak harici BT güvenlik araştırmacılarına ikramiye öder.
(Resim: ekran görüntüsü/Intel)
Intel gibi diğer şirketlerin de böyle bir hata ödül programına bel bağlamasına şaşmamalı. Geçen yıl işlemci üreticisi, programının bir parçası olarak 151 harici BT güvenlik uzmanına yaklaşık 935.000 ABD doları dağıttı. Bununla birlikte, ürün güvenliği raporunda Intel, BT güvenliğine güçlü bir şirket içi odaklandığını ve çalışan eğitimine ek olarak birkaç BT güvenlik ekibi çalıştırdığını açıklıyor. Şirketin ayrıca üçüncü taraf satıcılar tarafından yürütülen harici güvenlik soruşturmaları vardır. Ancak, geçen yıl yalnızca sekiz güvenlik açığı keşfedildi. 2019 yılında 57 boşluk bulundu.
Bununla birlikte, bir hata ödül programı işletme için yalnızca uygun maliyetli bir girişim olmakla kalmaz, aynı zamanda dışarıdan BT uzmanlarına ilk teşviklerini kazanma, özgeçmişlerine önemli girişler yapma ve kendilerini daha iyi tanıtma fırsatı da sağlar.
(dmk)
Haberin Sonu
Sürekli büyüyen bug bounty programı
Google, ödül programını Güvenlik Açığı Ödül Programı (VRP) olarak adlandırır. İlgili Google ekibi, geçen yılın sonuçlarını bir blog gönderisinde özetler. Şirket, 2022’de 703 BT güvenlik araştırmacısına 12 milyon ABD dolarından fazla ödül verildiğini gururla duyurur. Google ürünlerini dünyanın dört bir yanındaki kullanıcılar için daha güvenli hale getirmeye yardımcı olan 2.900’den fazla güvenlik açığı buldular.
Yıllar geçtikçe, bildirilen güvenlik açıkları için ödenen ödül miktarı istikrarlı bir şekilde arttı.
(Resim: Google)
Grup hala bireysel alanları parçalıyor. Örneğin, “Android ve Cihazlar” alanındaki harici BT araştırmacılarına yaklaşık 4,8 milyon ABD doları tutarında ödül ödülü verildi. Cep telefonu işletim sisteminde 200’den fazla güvenlik açığı bildirmişlerdi. ChromeOS tarayıcısını ve işletim sistemini içeren Chrome bölümü, 4 milyon dolar değerinde 470 geçerli güvenlik uyarısı buldu. Yalnızca tarayıcı 363 güvenlik açığından ve 3,5 milyon dolardan sorumluydu.
Google, ilgili güvenlik açığı avcılarını eğitmek için bir Hata Avcısı Üniversitesi bile açtı. Arkasında, geçerli güvenlik açığı raporları oluşturmaya yönelik talimatlar ve yardım yer alır. Google’ın açıkladığı gibi artık nasıl yapılır videoları bile var. Google, özellikle istekli harici BT güvenlik araştırmacıları ve özel olarak davet edilen BT uzmanları için, dahil olanların güvenlikte herhangi bir kusur bulmasalar bile bir “güvenlik açığı araştırma ödeneği” alabilecekleri bir “Güvenlik Açığı Araştırma Hibesi” programı oluşturmuştur. 170 BT güvenlik araştırmacısı, 2022’de bu programdan toplam 250.000 ABD Doları aldı.
Dış kaynaklı kalite güvencesi
Kalite kontrol ve BT güvenliği konusunda yetkin bir kadrolu çalışanın gruba nelere mal olacağını hesapladığınızda, para için BT uzmanlarının bir kısmını bile istihdam edememeleri şaşırtıcıdır. Şirket iyi bir kesim yapıyor ve böylece değerli ve profesyonel işleri son derece ucuza alıyor – sonuçta, BT araştırmacılarının eğitmesi gereken hata mesajının biçimi ve içeriği için de spesifikasyonlar var.
Intel ayrıca bir hata ödül programının parçası olarak harici BT güvenlik araştırmacılarına ikramiye öder.
(Resim: ekran görüntüsü/Intel)
Intel gibi diğer şirketlerin de böyle bir hata ödül programına bel bağlamasına şaşmamalı. Geçen yıl işlemci üreticisi, programının bir parçası olarak 151 harici BT güvenlik uzmanına yaklaşık 935.000 ABD doları dağıttı. Bununla birlikte, ürün güvenliği raporunda Intel, BT güvenliğine güçlü bir şirket içi odaklandığını ve çalışan eğitimine ek olarak birkaç BT güvenlik ekibi çalıştırdığını açıklıyor. Şirketin ayrıca üçüncü taraf satıcılar tarafından yürütülen harici güvenlik soruşturmaları vardır. Ancak, geçen yıl yalnızca sekiz güvenlik açığı keşfedildi. 2019 yılında 57 boşluk bulundu.
Bununla birlikte, bir hata ödül programı işletme için yalnızca uygun maliyetli bir girişim olmakla kalmaz, aynı zamanda dışarıdan BT uzmanlarına ilk teşviklerini kazanma, özgeçmişlerine önemli girişler yapma ve kendilerini daha iyi tanıtma fırsatı da sağlar.
(dmk)
Haberin Sonu