Bug Bounty چیست؟

پاداش‌های باگ به این امید ارائه می‌شوند که آسیب‌پذیری‌های امنیتی قبل از اینکه توسط یک بازیگر شرور مورد سوء استفاده قرار گیرند، شناسایی و به صاحب نرم‌افزار گزارش شوند. در کریپتو، پاداش‌های باگ اغلب توسط کسب‌وکارهای ارزهای دیجیتال مانند پروتکل‌ها، صرافی‌ها و اپراتورهای کیف پول ارائه می‌شوند. طرح‌های پاداش را می‌توان به عنوان رقابت بین هکرهای دوستانه در نظر گرفت. طرح ها به صورت عمومی باز می شوند – و شرکتی که پاداش اشکال را ارائه می دهد (از لحاظ نظری) می تواند هر آسیب پذیری شناسایی شده را قبل از اینکه برای بازیگران بد شناخته شود اصلاح کند. در بیشتر موارد، پاداش های اشکال بر اساس شدت آسیب پذیری شناسایی شده ارزش گذاری می شوند. طبق گزارش HackerOne، تنها در سال 2018 تقریباً 900000 دلار پاداش باگ پرداخت شده است. ارزش پاداش‌های فردی می‌تواند بسیار پایین باشد – و معمولاً شرکت‌ها برای شناسایی یک آسیب‌پذیری با شدت کم حدود ۱۰۰ دلار به عنوان جایزه پرداخت می‌کنند. با این حال، آسیب‌پذیری‌های حیاتی گاهی اوقات می‌توانند جایزه‌های 10000 دلاری یا بیشتر را جذب کنند. برخی از هکرها مبالغ قابل‌توجهی برای شناسایی باگ‌ها کسب می‌کنند. Guido Vranken، یک محقق هلندی، 12 باگ را در مدت یک هفته شناسایی کرد – و در ازای آن 120000 دلار توسط EOS پرداخت شد. .
مهمترین اولویت برای توسعه دهندگان ساخت کد ایمن و به حداقل رساندن آسیب پذیری ها قبل از ارسال محصول است. با این حال، حتی دقیق ترین توسعه دهندگان نیز به ناچار باگ ها را از دست خواهند داد، و برخی از آنها ممکن است خطرات امنیتی ایجاد کنند. بنابراین پاداش‌های باگ به‌عنوان خط دوم دفاعی مهم برای محافظت از صاحبان نرم‌افزار و کاربران در برابر بازیگران بد عمل می‌کنند.

بازگشت به واژه نامه