Programa de bug bounty
O que é Programa de bug bounty?
Programa de bug bountyIniciativa formal pela qual uma organizacao convida investigadores externos a comunicar vulnerabilidades e paga recompensas em funcao do impacto.
Um programa de bug bounty transforma o teste de seguranca em colaboracao publica num processo controlado. A organizacao publica ambito, regras, exclusoes e escaloes de recompensa e recebe relatorios de investigadores independentes pela sua propria plataforma ou por um operador de triagem como HackerOne, Bugcrowd ou Intigriti. As vulnerabilidades sao validadas, reproduzidas, priorizadas e corrigidas, com pagamentos associados a severidade (frequentemente CVSS). Os programas podem ser publicos ou privados (apenas por convite) e complementam, sem substituir, a equipa interna de AppSec, ferramentas SAST/DAST e testes de penetracao. Uma clausula de safe harbour legal e essencial para que investigadores de boa-fe nao sejam processados ao abrigo de leis anti-pirataria.
● Exemplos
- 01
Google Vulnerability Reward Program, Microsoft Bug Bounty, Apple Security Bounty.
- 02
Um fornecedor SaaS mantem um programa privado por convite no HackerOne com pagamentos de 500 a 50 000 USD.
● Perguntas frequentes
O que é Programa de bug bounty?
Iniciativa formal pela qual uma organizacao convida investigadores externos a comunicar vulnerabilidades e paga recompensas em funcao do impacto. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Programa de bug bounty?
Iniciativa formal pela qual uma organizacao convida investigadores externos a comunicar vulnerabilidades e paga recompensas em funcao do impacto.
Como funciona Programa de bug bounty?
Um programa de bug bounty transforma o teste de seguranca em colaboracao publica num processo controlado. A organizacao publica ambito, regras, exclusoes e escaloes de recompensa e recebe relatorios de investigadores independentes pela sua propria plataforma ou por um operador de triagem como HackerOne, Bugcrowd ou Intigriti. As vulnerabilidades sao validadas, reproduzidas, priorizadas e corrigidas, com pagamentos associados a severidade (frequentemente CVSS). Os programas podem ser publicos ou privados (apenas por convite) e complementam, sem substituir, a equipa interna de AppSec, ferramentas SAST/DAST e testes de penetracao. Uma clausula de safe harbour legal e essencial para que investigadores de boa-fe nao sejam processados ao abrigo de leis anti-pirataria.
Como se defender contra Programa de bug bounty?
As defesas contra Programa de bug bounty costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Programa de bug bounty?
Nomes alternativos comuns: VRP, Programa de recompensa por vulnerabilidades.
● Termos relacionados
- attacks№ 221
Divulgacao coordenada de vulnerabilidades (CVD)
Processo em que o descobridor, o fornecedor afetado e por vezes um coordenador acordam um calendario antes da publicacao publica de uma falha de seguranca.
- roles№ 132
Caçador de bug bounty
Investigador de segurança independente que descobre e reporta vulnerabilidades a fabricantes através de programas de bug bounty ou divulgação coordenada, em troca de recompensas financeiras e reconhecimento.
- defense-ops№ 813
Teste de intrusão
Ciberataque simulado e autorizado contra sistemas, aplicações ou pessoas para identificar fraquezas exploráveis antes dos adversários reais.
- vulnerabilities№ 1216
Vulnerabilidade
Fraqueza em um sistema, aplicação ou processo que um atacante pode explorar para comprometer confidencialidade, integridade ou disponibilidade.
- vulnerabilities№ 261
CVSS (Common Vulnerability Scoring System)
Estrutura aberta, mantida pelo FIRST, que produz uma pontuação de gravidade de 0–10 para uma vulnerabilidade com base nas suas características de exploração e impacto.
- defense-ops№ 1217
Avaliação de vulnerabilidades
Revisão sistemática de um ambiente para identificar, classificar e priorizar fraquezas de segurança, normalmente sem exploração ativa.
● Veja também
- № 1234Hacker de Chapeu Branco
- № 451Hacker de Chapeu Cinza
- № 390Hacker Etico