Crest报告亮点需要Bug Bounty最佳实践
根据Crest,技术信息安全行业认证机构的报告,Bug赏金计划迫切需要定义的最佳实践和行为守则。
Bug奖励:致力于更公平和更安全的市场报告探讨了良好和不良的做法,以建立如何更好地了解错误赏金计划以及它们如何适应更广泛的技术保证框架。
该报告还突出了对Bug Bounty Services的买方提供建议,并保护参加Bug赏金计划的“猎人”的利益。
CREST报告基于协作研究,包括使用Bug赏金利益相关者和参与者的访谈和研讨会。
Bug Bounties正在深深嵌入信息安全行业,报告说明,技术巨头,如微软,谷歌和IBM现在正在运行自己的程序。与此同时,大型赏金平台上涨。
这些平台,如Hackerone和Bogcrowd,提供了从简单的上市和介绍的服务,并将Bug Hunter和组织介绍到完全托管服务,包括紧急评估和奖励流程。
报告称,通过两种模型的采用越来越多,Bug Bounty计划正在以“显着的速度”推出,并补充说预期是它将继续为可预见的未来继续这样做。
根据Bugcrowd 2017的Bug Bounty报告,过去一年推出的企业错误赏金计划的数量增加了两倍。
“我们迫切需要定义错误赏金计划周围的要求,因此每个人都知道”良好“的样子,保护研究人员,组织和BUG赏金平台运营商,”冠长伊恩岛总裁伊恩格洛弗说。
“组织必须仔细考虑他们是否准备好运行一个错误的赏金计划,并仔细考虑他们是否在内部或在专业平台的帮助下进行运行,”他说。
对于Bug Bounties有很多机会出错,Glover表示,不应低估运行成功计划所需的成熟度。“虽然在很大程度上同意规定将非常难以施加,但需要确定最佳实践和重新考虑的行为守则,”他说。
格洛弗认为需要措施,以保护所有涉及Bug Bounty Marketplace的各方才能“避免未来问题”。
报告称,虽然监管将是“令人难以置信的困难”,但明确需要定义最佳实践和重新考虑的行为守则。
“我们找到一种方法是保护年轻杀戮,试验漏洞计划,从暗网络的潜在修饰来看,这是至关重要的。报告称,教育他们有关最佳实践的最佳实践,以及关于正确惯例的重要性是很重要的,“报告说。
该报告称,CREST致力于采取在Bug Bounty研讨会上共享的建议和想法,以改善Bug Bounty Hunters和计划的改善。
