5 parimat organisatsioonide veapalaviku platvormi, mis parandavad rakenduste turvalisust

Ainult häkker võib häkkerina mõelda. Seega, kui tegemist on häkkerikindlaks muutumisega, peate võib-olla pöörduma häkkerite poole.


Rakenduste turvalisus on alati olnud kuum teema, mis on aja jooksul ainult kuumemaks muutunud.

Isegi kui meie käsutuses on palju kaitsevahendeid ja praktikat (tulemüürid, SSL, asümmeetriline krüptograafia jne), ei saa ükski veebipõhine rakendus väita, et see on häkkerite käeulatusest turvaline.

Miks nii?

Lihtne põhjus on see, et tarkvara ehitamine on endiselt väga keeruline ja habras protsess. Sihtasutuse arendajad kasutavad endiselt vigu (teadaolevaid ja tundmatuid) ning uue tarkvara ja teekide käivitamisega luuakse uusi. Isegi kõige tipptasemel tehnoloogiaettevõtted on aeg-ajalt piinlikuks ja mõjuvaks põhjuseks valmis.

Nüüd palkamine. . . Häkkerid!

Arvestades, et vead ja haavatavused ei jäta tarkvarariiki kunagi, siis kuhu see jätab ettevõtted sellest tarkvarast sõltuvuse? Kuidas saab näiteks uue rahakotirakenduse olla kindel, et see seisab häkkerite vastikute proovide vastu?

Jah, olete seda juba aimanud: palgates häkkerid tulema ja seda värskelt vermitud rakendust uurima! Ja miks nad seda teeksid? Just sellepärast, et pakkumisel on piisavalt suur halastus – veahake! ��

Kui sõna “halastus” toob tagasi mälestused Metsikust Läänest ja kuulide maha laskmisest ilma hüljata, siis on see täpselt selline idee. Kuidagi saate kõige nutikamad ja teadlikumad häkkerid (turbeeksperdid) teie rakenduse välja tuua ja kui nad midagi leiavad, saavad nad selle eest tasu.

Selle saavutamiseks on kaks võimalust: 1) veahalastise omamine ise; 2) veahalastusplatvormi kasutamine.

Bug Bounty: ise hostitud vs platvormid

Miks peaksite veaparandusplatvormi valimisel (ja maksmisel) vaeva nägema, kui saate selle lihtsalt ise hostida. Ma mõtlen, et lihtsalt looge leht asjakohaste üksikasjadega ja tehke sotsiaalmeedias mingit lärmi. Ilmselt ei saa see läbi kukkuda, eks?

Hacker pole veendunud!

Noh, see on kena idee kohe, aga vaadake seda häkkerite vaatevinklist. Vigade otsimine pole lihtne ülesanne, kuna see nõuab mitu aastat koolitust, praktiliselt piiramatuid teadmisi vanadest ja uutest asjadest, palju otsustavust ja rohkem loovust, kui enamikul “visuaalsetel disaineritel” on (vabandust, ei suutnud sellele vastu seista !:) -P).

Häkker ei tea, kes te olete või pole kindel, et maksate. Või äkki pole motiveeritud. Isetehtud võõrkehad töötavad selliste juggernautide jaoks nagu Google, Apple, Facebook jne, kelle nimesid inimesed saavad uhkusega oma portfooliosse panna. „XYZ Tech Systems’i välja töötatud HRMS-i rakenduses leitud kriitiline sisselogimise haavatavus” ei kõla enam muljetavaldavalt (teeb kõigi võimalike vabandusi kõigi seal tegutsevate ettevõtete ees, kes võivad seda nime meenutada!)?

Siis on veel muid praktilisi (ja ülekaalukaid põhjuseid) soolo mitteosamiseks, kui tegemist on veapaladega.

Infrastruktuuri puudumine

Häkkerid, millest me oleme rääkinud, ei ole need, mis varjavad pimedat veebi.

Neil pole meie “tsiviliseeritud” maailma jaoks aega ega kannatust. Selle asemel räägime siin arvutiteaduse taustaga teadlastest, kes on kas ülikoolis või on pikka aega olnud pearahakütt. Need inimesed soovivad ja esitavad teavet konkreetses vormingus, millega on juba harjumine valu.

Isegi teie parimad arendajad näevad vaeva, et sammu pidada ja alternatiivkulu võib osutuda liiga kõrgeks.

Esildiste lahendamine

Lõpuks on tõendite küsimus. Tarkvara võib olla üles ehitatud täielikult deterministlikele reeglitele, kuid see, millal konkreetne nõue on täidetud, on arutluse all. Võtame näite, et seda paremini mõista.

Oletame, et lõite autentimis- ja autoriseerimisvigade jaoks veahalduri. See tähendab, et väidate, et teie süsteemis pole mannetuse ohtu, mida häkkerid peavad õõnestama.

Nüüd on häkker konkreetse brauseri tööpõhimõtte põhjal leidnud nõrkuse, mis võimaldab kasutajatel varastada kasutaja seanssiloa ja teisendada sellega.

Kas see on õige tõdemus?

Häkkerite vaatenurgast kindlasti, kuna rikkumine on rikkumine. Teie vaatenurgast võib-olla mitte, sest kas arvate, et see kuulub kasutaja vastutusalasse, või et brauser lihtsalt ei ole teie sihtturu mure..

Kui kogu see draama toimuks veaparandusplatvormil, oleks võimeline vahekohtunikke otsustama avastuse mõju ja lõpetama teema.

Vaatame seda vaatame mõnda populaarset veaparandusplatvormi seal.

Hackerone

Vigade halastusprogrammide hulgas, Hackerone on liider, kui on vaja pääseda häkkeritele, luua oma halastusprogramme, levitada sõna ja hinnata kaastööd.

Hackerone’i kasutamiseks on kaks võimalust: platvormi abil saate koguda haavatavuse aruandeid ja neid ise välja töötada või lasta Hackerone’i ekspertidel rasket tööd teha (proovimine). Katsetamine on lihtsalt haavatavuse aruannete koostamine, nende kontrollimine ja häkkeritega suhtlemine.

Hackerone’i kasutavad sellised suured nimed nagu Google Play, PayPal, GitHub, Starbucks ja muud sarnased, nii et loomulikult on see mõeldud neile, kellel on tõsised vead ja tõsised taskud. ��

Kärbes

Kärbes pakub turvalisuse hindamiseks mitmeid lahendusi, üks neist on Bug Bounty. See pakub SaaS-lahendust, mis integreerub hõlpsalt teie olemasolevasse tarkvara elutsüklisse ja muudab selle eduka veaprobleemiprogrammi käivitamiseks kiireks.

Võite valida privaatse veahaldusprogrammi, mis hõlmab mõnda valitud häkkerit, või avaliku, mis koondab tuhandeid ressursse.

SafeHats

Kui olete ettevõte ja te ei tunne end mugavalt oma veaprobleemide programmi avalikustamisega – ja vajate samal ajal rohkem tähelepanu, kui suudab pakkuda tüüpiline veahaldusplatvorm – SafeHats on teie kindlaim panus (kohutav nüanss, jah?).

Spetsiaalne turvanõustaja, põhjalikud häkkeriprofiilid, ainult kutsetega osalemine – see kõik pakutakse sõltuvalt teie vajadustest ja teie turvamudeli küpsusest.

Intigriti

Intigriti on kõikehõlmav veahaldusplatvorm, mis ühendab teid valge mütsiga häkkeritega, sõltumata sellest, kas soovite käitada privaatset või avalikku programmi.

Häkkerite jaoks on neid palju rahasid haarata. Sõltuvalt ettevõtte suurusest ja majandusharust on saadaval jahipidamisi alates 1000 kuni 20 000 euroni.

Synack

Tundub, et Synack on üks neist turu eranditest, mis purustab vormi ja teeb lõpuks midagi massiivset. Nende turvaprogramm Haki Pentagon oli peamine rõhuasetus, mis viis mitme kriitilise haavatavuse avastamiseni.

Nii et kui otsite mitte ainult veaotsingut, vaid ka turvanõuandeid ja koolitust kõrgeimal tasemel, Synack on tee minna.

Järeldus

Nii nagu te hoiate eemal ravitsejatest, kes kuulutavad imeravimeid, hoiduge eemale igast veebisaidist või teenusest, kus väidetakse, et kuulikindlus on võimalik. Kõik, mida saame teha, on liikuda ühe sammu lähemale ideaali poole. Sellisena ei tohiks veapalavikuprogrammidest oodata veatu rakenduste loomist, vaid neid tuleks käsitada olulise strateegiana tõeliselt vastikute väljajuurimisel..

Vaadake seda veapalaviku jahikursus Kui soovite õppida ja saada kuulsuste saali, siis preemiad, tunnustus.

Loodan, et kustutad paljud neist vead! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map