آشنایی با مفهوم برنامه اعلام باگ یا VDP

باگ بانتی باگدشت در طول دو سال فعالیت خود با همکاری تیم حقوقی و فنی خود برنامه اعلام باگ یا VDP را متناسب با نیازمندی هر سازمان بصورت عمومی و اختصاصی ایجاد نموده است.

در این ویدیو؛ مدیر عامل مجموعه باگدشت در خصوص راهکار بین المللی کاهش مسایل حقوقی اعلام باگ امنیتی را عنوان نموده است.

برنامه VDP(Vulnerability Disclosure Program) کانال امن برای محقق امنیت سایبری است که بدون مشکل بتواند آسیب‌پذیری، باگ و مشکلات نرم‌افزاری را به سازمان اعلام کند و از سوی دیگر سازمان هم اطمینان حاصل نماید که الزامات او در خصوص روال شناسایی مشکلات امنیتی رعایت شده است.

هم به بررسی یک مثال در دنیای فیزیکی می‌پردازیم. در صورتی‌که یکی از شهروندان؛ فعالیت مشکوکی در محله دیدند می‌بایست آن را به سرعت گزراش کنند. برطبق این توافق اگر همسایه‌ای دید که در یکی از همسایه باز مانده است به صاحب خانه خبر می‌دهد. اما اگر شماره همسایه در اختیار شما نباشد به چه شکلی خبر باز بودن در خانه را اطلاع می‌دهید؟ و یا اینکه اگر یاداشتی بگذارید از کجا متوجه خواهید شد یادداشت حتما به دست صاحاب خانه می‌رسد؟ این مشکل در دنیای سایبری نیز وجود دارد و متخصصین بین المللی آن را با راهکاری با نام VDP یا برنامه اعلام باگ امنیتی رفع نموده‌اند. با توجه به این مثال یک VDP راهکاری رسمی و مداوم برای محققان امنیتی برای گزارش خطرهای امنیتی به صاحبان کسب کار فراهم می‌کند و کانالی فراهم می‌کند که شرکت سازنده حتما گزارش آسیب‌پذیری را در امن‌ترین و سریعترین حالت در دسترس داشته باشد.

موانع و فواید برنامه اعلام باگ:

پلتفرم باگ بانتی باگدشت کانالی مطمئن برای محققین امنیتی و سازمان‌ها ایجاد کرده است که بتوانند به دور از حواشی حقوقی به ایمن‌سازی سامانه‌های سازمانی بپردازند.

برای کاهش مسایل قضایی برای سازمان و متخصص امنیتی؛ شرکت‌ها باید فرایندی قوی برای بررسی باگ‌های امنیتی داشته باشند. سازمان باید به صورت شفاف اعلام کند که چه کسی حق اعلام باگ امنیتی را دارد و برای هر سطح گزارش چه مقدار بانتی درنظر گرفته شده است. به‌علاوه باید به محقق اعلام شود بعضی از حملات مانند DoS، مهندسی اجتماعی و هرحمله‌ای که به سرویس شرکت ضرر می‌رساند مورد قبول نمی‌باشد. هدف اجرای این برنامه باید به صورت واضح تعریف شود به شکلی که هرگونه عملیات مخرب در حوزه این هدف نباشد. به‌عنوان مثال شرکت فیس‌بوک در برنامه اعلام باگ خود نیازمندی‌هایی برای فردی که می‌خواهد به شناسایی باگ بپردازد گذاشته است که شامل:

  1. راهنما برای پایبندی به مسئولیت قوانین افشا اطلاعات.
  2. گزارش مشکل باگ شامل محصول یا سرویس در حوزه هدف باگ بانتی باشد و شامل انواع دیگر ریسک‌های امنیتی خارج این حوزه نباشد.
  3. گزارش کردن باگ ازطریق یک فرم بخصوص باشد که در بانتی ارایه شده است.
  4. از یک حساب‌کاربری تست برای جستجوی باگ استفاده شود که باعث افشای ناخواسته اطلاعت کاربران و تداخل در سرویس آن‌ها نشود.
در صورت تمایل به اشتراگ بگذارید