Zero
Bugcrowd a lancé Divulguer.io, un “safe harbor” cadre destiné à aider les chercheurs en sécurité pêchés dans le golfe entre la légalité et la divulgation responsable.
Les lois autour de la vulnérabilité des rapports sont gris au mieux. Certains fournisseurs ont dédié bug bounty programmes qui donnent les pirates de l’avenue de signaler des failles de sécurité directement, non seulement de donner aux entreprises concernées une chance de corriger le problème avant la menace acteurs à apprendre d’eux, mais aussi pour obtenir du crédit et de récompenses financières.
Parfois, cependant, les entreprises ne sont pas heureux de recevoir de tels rapports. Cette année, un chercheur en sécurité et deux reporters clos face à la cour au cours de la divulgation des vulnérabilités et de la menace de telles poursuites peuvent avoir un effet dévastateur sur la sécurité de la communauté au sens large.
La censure et la menace de procès sont seulement certains des problèmes que les white hat hackers visage.
Proposé les modifications apportées à l’Arrangement de Wassenaar contrôles à l’exportation et à l’origine menacé de rendre légale la vulnérabilité de divulgation presque impossible; mais, heureusement, les changements sont maintenant l’espoir d’être effectuée afin de garder la cybersécurité des chercheurs en clair.
Malgré le travail de nombreux experts de la sécurité et de longues discussions résultant en une victoire quand il s’agit de l’Arrangement de Wassenaar, la vulnérabilité de divulgation peut encore être un champ de mines.
L’US Computer fraud and Abuse Act (CFAA) et de la Digital Millennium Copyright Act (DMCA) ont aussi montré ambigu et parfois douloureux pour la cybersécurité. Dans un cas particulier, par exemple, un chercheur qui aurait découvert qu’un vendeur avait quitté les données d’identification non garantis sur GitHub.
Lorsque le problème a été signalé à la société en cause a tenté de réduire au silence le chercheur en menaçant de le poursuivre en vertu de la CFAA.
TechRepublic: Top 5: les Raisons vous avez besoin d’un bug du programme de primes
Il est troublant de temps, aggravée par le rythme accéléré dans lequel les cyberattaques allant de la violation de données à des attaques contre des infrastructures critiques semblent prendre la place.
Cependant, Bugcrowd espère qu’un nouveau cadre juridique peut réduire la menace de l’ombre de poursuites judiciaires et de mettre tout le monde sur la même page.
Voir aussi: Bug bounty: “Acheter ce que vous voulez
Divulguer.io est présenté comme un “collaboration et de vendeur indépendant du projet afin de normaliser les meilleures pratiques autour de “safe harbour” pour la bonne-foi de recherche sur la sécurité.”
En partenariat avec le chercheur en sécurité Amit Elazari, le nouveau programme vise à donner à la fois les chercheurs et les fournisseurs étendue claire quand il s’agit de divulgation de vulnérabilité, que ce soit en privé ou par le biais de bug bounty programmes.
Divulguer.io s’appuie sur CipherLaw Open Source de Vulnérabilité de Divulgation Cadre, des travaux menés par Bugcrowd, Elazari #legalbugbounty safe harbor projet et Dropbox s’est engagée à protéger la sécurité des chercheurs.
Le cadre juridique s’efforce de concilier clair, concis, exigences légales, safe harbor éléments pour les deux responsables de programmes et des chercheurs, ainsi que la lisibilité pour les personnes sans formation juridique.
CNET: Facebook lance un bug du programme de primes pour les données du rapport les voleurs
Les entreprises qui choisissent d’afficher le cadre du logo de s’engager à un ensemble de conditions qui créent une sphère de sécurité pour les recherches menées de bonne foi.
Ils doivent également fournir des définitions claires concernant la portée de la recherche, officiel de canaux de communication pour responsable de la divulgation, ainsi qu’une politique d’information.
“Nous sommes à la recherche de vulnérabilités, en introduisant et en encourageant l’intelligence et de la créativité de le blanc-chapeau de pirate de la communauté”, a déclaré Casey Ellis, Bugcrowd fondateur et CTO. “Cela peut être un concept effrayant pour les gens qui créer, de diriger et de protéger le logiciel, mais il est nécessaire pour rivaliser avec l’intelligence des adversaires qui sont là-bas. La normalisation est le meilleur moyen de contrer la loi ou de la réputation retour de flamme tandis que continue d’attirer les meilleurs chasseurs à votre programme.”
Dans le même temps que le lancement de la Divulguer.io, Bugcrowd a également annoncé un partenariat avec la Californie de Cybersécurité de l’Institut (CCI) à Cal Poly pour exécuter deux ans d’un programme de recherche sur la manière de former la prochaine génération de la cybersécurité des chercheurs.
Précédente et de la couverture liée
Zero Day Initiative de bug bounty rampes en place des récompenses pour les vulnérabilités côté serveur Hyperledger bug bounty programme public Netflix vous demande de lancer piratage informatique, d’un bogue du programme de primes est maintenant public
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0