Programa de bug bounty
O que é Programa de bug bounty?
Programa de bug bountyIniciativa formal pela qual uma organizacao convida investigadores externos a comunicar vulnerabilidades e paga recompensas em funcao do impacto.
Um programa de bug bounty transforma o teste de seguranca em colaboracao publica num processo controlado. A organizacao publica ambito, regras, exclusoes e escaloes de recompensa e recebe relatorios de investigadores independentes pela sua propria plataforma ou por um operador de triagem como HackerOne, Bugcrowd ou Intigriti. As vulnerabilidades sao validadas, reproduzidas, priorizadas e corrigidas, com pagamentos associados a severidade (frequentemente CVSS). Os programas podem ser publicos ou privados (apenas por convite) e complementam, sem substituir, a equipa interna de AppSec, ferramentas SAST/DAST e testes de penetracao. Uma clausula de safe harbour legal e essencial para que investigadores de boa-fe nao sejam processados ao abrigo de leis anti-pirataria.
● Exemplos
- 01
Google Vulnerability Reward Program, Microsoft Bug Bounty, Apple Security Bounty.
- 02
Um fornecedor SaaS mantem um programa privado por convite no HackerOne com pagamentos de 500 a 50 000 USD.
● Perguntas frequentes
O que é Programa de bug bounty?
Iniciativa formal pela qual uma organizacao convida investigadores externos a comunicar vulnerabilidades e paga recompensas em funcao do impacto. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Programa de bug bounty?
Iniciativa formal pela qual uma organizacao convida investigadores externos a comunicar vulnerabilidades e paga recompensas em funcao do impacto.
Como se defender contra Programa de bug bounty?
As defesas contra Programa de bug bounty costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Programa de bug bounty?
Nomes alternativos comuns: VRP, Programa de recompensa por vulnerabilidades.