ב -22 במרץ 2018, נטפליקס פתחה בתוכנית "באג באג", המפצה האקרים שמדווחים על פגיעויות לחברה. זה משהו שהחברה עשתה בחמש השנים האחרונות, אבל רק במסגרת מוגבלת. עכשיו זה נפתח התוכנית לציבור, זה יהיה מספר רב של האקרים להסתכל דרך האתר בהרחבה.

תרגול זה עשוי להיראות קצת כאוטי, אבל אנשים רבים טוענים כי תשלום זרים לפרוץ את האתר שלך היא אחת הדרכים היעילות ביותר כדי לאבטח אותו מפני איומים פוטנציאליים. השאלה, עם זאת, האם תוכניות באגים באגים הם באמת יעיל יותר מאשר שיש צוות בדיקות חדירה בבית.

איך חדירה בדיקות עובד

בדיקות חדירה הן חלק נורמלי במחזור הפיתוח המתבצע בדרך כלל לפני שחרור המוצר לציבור. זה כרוך צוות של אנשים, או outsourced או בתוך הבית, כי ניסיון "לפרוץ" את התוכנה או המערכת כי החברה רוצה לשחרר. לאחר מכן הם מדווחים על כל הפגיעויות שנמצאות בפלטפורמה, ומאפשרים למפתחים לתקן את הבעיות הללו לפני שהם הופכים למטרדים בשלב מאוחר יותר.

במהלך בדיקות חדירה, הצוות בדרך כלל עוקב אחר הליך מוגדר כדי לחשוף את כל הפגיעויות האפשריות. זה עשוי להיות כרוך בשימוש בטכניקות כי האקרים בדרך כלל להשתמש כדי לחדור מערכות ותוכנות. מה שאתה בסופו של דבר עם רשימה מקיפה של תחומים קריטיים בתוכנה שלך כי רוב האקרים יוכלו לחתור.

מה הופך באג Bugies כל כך אטרקטיבי?

כאשר אתה מבצע תוכנית באגים באג, אתה בעצם אומר לציבור שאתה מוכן לשלם סכום קבוע של כסף לכל מי מצליח לדווח על פגיעות משמעותית לך. כדי להפעיל באגים מוצלח באג, אתה צריך להגדיר כמה כללים הקרקע כך שאנשים יודעים איזה סוג של התנהגות אינה מקובלת במהלך מסע כזה.

למרות כמה אנטי אינטואיטיבי זה אולי נשמע כזה סוג של מדיניות, bug bounties מציעים מספר מסוים של יתרונות על פני בדיקות חדירה המסורתית:

  • המשתתפים בשפע הם שילמו ברגע פגיעות נמצא, יצירת תמריץ לעשות סריקה יסודית של כל התוכנה. בדיקות החדירה אינן מציגות תמריצים אלה, מאחר שחברי הצוות משולמים ללא תלות במידת היקפם.
  • מענקים לתת אלפי האקרים מיומנים הזדמנות לבחון את סם שלהם, מתן מספר מדהים של נקודות מבט. צוותי בדיקות החדירה נוטים להיות מוגבלים בגודלם. ללא קשר לכישוריהם, נקודת המבט שלהם מוגבלת.
  • רבים מהמשתתפים באגים המשתתפים הם אנשי מקצוע מיומנים במשרה מלאה המשתתפים במספר ציד שונים בו זמנית.
  • חברות עם ענק "משטחי התקפה" (כלומר, תוכנה נוטה מאוד הפרות) יכול לחשוף באגים שהיו בעבר הושארו על ידי צוותים משלהם.

למה בדיקות חדירה עדיין רלוונטי

באג bugies עשוי להיות נהדר וכל, אבל הם לא בהכרח עובד עבור חברות שאין להם קהילות ענק. זוהי הסיבה בדיקות חדירה היא עדיין תופעה גדולה. אם אתה ספק תוכנה רפואית החברה, למשל, אתה לא יכול לקבל כמו משתתפים רבים מוכנים כמו, למשל, סטודיו למשחקי וידאו עם קהילה של עשרות אלפי אנשים.

בדיקות חדירה עדיין מציע יתרונות אחרים שעשויים לשכנע חברות לוותר על הרעיון של באג באגים לגמרי:

  • אתה מזער את הסיכון של הפגיעויות שלך להיות חשוף לציבור לפני שיש לך הזדמנות לתקן אותם. גם אם אתה קובע כלל נגד זה בשפע הבאג שלך, אנשים מחויבים לפרש אותו לא נכון.
  • Outsourced חדירה בדיקות חברות עשוי להציע הסמכה כי הוא חשוב ללקוחות שלך.
  • איכות הדיווח היא לעתים קרובות הרבה יותר בדיקות חדירה.
  • זה שימושי בשווקים מוסדרים מאוד (כגון עיבוד תשלומים וכל דבר המטפל בנק / חיוב / כרטיס אשראי נתונים).

האם אתה מרגיש בטוח יותר באמצעות Netflix בגלל תוכנית הבאוטי שלו? או האם החברה היתה טובה יותר לעבוד עם צוות בדיקות חדירה? ספר לנו הכל על זה הערה!