Programma Bug bounty

Da Wikipedia, l'enciclopedia libera.

Un programma bug bounty è un accordo proposto da numerosi siti internet e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità. Questi programmi permettono agli sviluppatori di scoprire e risolvere tali bug prima che siano di dominio pubblico, prevenendo problematiche potenzialmente di vasto impatto. Diversi programmi di Bug bounty sono stati avviati, tra i quali quelli di Facebook,[1] Yahoo!,[2] Google,[3] Reddit,[4], Square[5] e Oracle Corporation[6].

Programmi degni di nota[modifica | modifica wikitesto]

Durante l'ottobre del 2013, Google annunciò una significativa modifica al suo Programma di Ricompense per la Segnalazione di Vulnerabilità. Precedentemente consisteva in un programma bug bounty riguardante diversi prodotti Google. Con queste novità, tuttavia, il programma fu ampliato per includere una selezione di software libero, applicazioni e librerie ad alto rischio, principalmente quelli progettati per networking o funzionalità a basso livello di sistemi operativi. Le segnalazioni ritenute inerenti dalle linee guida di Google saranno potenzialmente idonee a essere ricompensate con cifre fra i $500 e i $3133.70.[7]

Similmente, nel novembre 2013 Microsoft e Facebook si accordarono per sponsorizzare "The Internet Bug Bounty", un programma di ricompense per la segnalazione di exploit per un ampio numero di software legati ad Internet.[8] Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, e Phabricator sono parte dei software inclusi in questo programma. Inoltre, il programma offriva ricompense per exploit relativi a sistemi operativi e browser, per coprire l'intero Internet.[9]

Note[modifica | modifica wikitesto]

  1. ^ Sicurezza Facebook, su www.facebook.com. URL consultato il 07 giugno 2016.
  2. ^ "Yahoo!
  3. ^ "Vulnerability Assessment Reward Program".
  4. ^ "Reddit - whitehat".
  5. ^ "Square bug bounty program".
  6. ^ Oracle Security At Risk: Java.net Pwn3d By a White Hat Hacker, facebook.com. URL consultato il 25 giugno 2016.
  7. ^ Google offers “leet” cash prizes for updates to Linux and other OS software, su Ars Technica. URL consultato il 07 giugno 2016.
  8. ^ Now there’s a bug bounty program for the whole Internet, su Ars Technica. URL consultato il 07 giugno 2016.
  9. ^ "The Internet Bug Bounty".