#IMOS21: Sechs Komponenten eines Bug Bounty-Programms

Cyber Security News

In seiner Rede auf dem Spring Infosecurity Magazine Online Summit erläuterte Sean Poris, Director, Product Security bei Verizon Media, wie man ein Bug Bounty-Programm betreibt und skizzierte die sechs Komponenten einer erfolgreichen Big Bounty-Struktur.

Poris erklärte, dass Unternehmen durch die Investition in Bug Bounties potenziell “Hunderttausende von globalen Hackern” anzapfen, die über Software und Schwachstellen auf eine Art und Weise nachdenken, wie es interne Mitarbeiter vielleicht nicht tun.

Er sagte auch, dass das Kennen und Verstehen der eigenen Ziele der Schlüssel ist, wenn es darum geht, ein Bug Bounty Programm zu betreiben, so dass Organisationen einen klaren Fokus darauf haben müssen, “was sie mit der Einrichtung des Programms zu erreichen versuchen.” Dies sollte auch beinhalten, dass man sich Zeit nimmt, um zu überlegen, “was die Forscher von Ihrem Programm wollen” und wie man mit ihnen zusammenarbeiten kann, zusammen mit dem langfristigen Ziel Ihres Programms.

Sobald diese Aspekte geklärt sind, gibt es laut Poris sechs Komponenten, um den Erfolg eines Bug Bounty-Programms für ein Unternehmen zu gewährleisten.

Diese sechs Komponenten sind: Umfang: Was ist drin, was ist draußen? Plattform: Berichtserfassung und Kommunikation Talent: Hacker und Teams Finanzen: Budget, Prognose und Zahlungen Betrieb: Prozess, Konsistenz und Übersicht (Metriken) Politik: Regeln der Straße, sicherer Hafen und Compliance

Letztendlich ist “ein Bug-Bounty-Programm eine Crowdsourcing-Initiative, die Einzelpersonen für die Entdeckung und Meldung von Software-Fehlern belohnt”, und durch einen überlegten, föderationsähnlichen Ansatz können Organisationen ihre Bug-Bounty-Reise zum Erfolg führen.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com