Cos’è il Bounty Bug?
Il Bug Bounty, un concetto americano apparso per la prima volta nel 1994, è un metodo alternativo ai consueti audit, basato sulla collaborazione.
Un Bug Bounty è una ricompensa che un’azienda offre a chiunque trovi violazioni della sicurezza all’interno di un determinato perimetro. Questo perimetro può essere un sito web, un’applicazione, un’API, ecc…
E quindi all’azienda di determinare quali servizi saranno esplorabile per individuare eventuali falle nella sicurezza. Ci sono delle regole da rispettare e ogni Bug Bounty deve indicare chiaramente i limiti che l’hacker o l’esperto non deve superare.
Viene data una ricompensa, a seconda dell’importanza e della criticità del difetto riscontrato nel sistema. L’ammontare dei premi è abbastanza variabile, dipenderà dal tipo di vulnerabilità riscontrata e dal rating associato alla vulnerabilità.
Più è critica, complessa e ben documentata la vulnerabilità, con se possibile una PoC (Proof of Concept) e perché no raccomandazioni, o anche un cerotto, maggiore è la ricompensa.
Naturalmente, se trovate dei difetti che sono già stati trovati da qualcun altro, non riceverete alcuna ricompensa.
È un concetto in continua crescita che rappresenta una soluzione semplice, flessibile e meno costosa per le aziende.
Perché il Bounty Bug?
Veloce da lanciare, risultati garantiti, trasparente e gratuito se non si trovano difetti.
Grazie al Bounty Bug, i sistemi di sicurezza aziendale sono costantemente testati da un team di hacker etici che fornisce un feedback ricco e variegato.
Con un buon programma Bug Bounty, un’azienda può far testare continuamente la sicurezza del proprio sito o degli strumenti, 24 ore su 24, da centinaia di persone diverse, per molto meno dei tradizionali audit.
Questa è la forza del Bug Bounty.
Le nostre piattaforme di apprendimento e formazione Bug Bounty sono offerte in collaborazione con il nostro partner Yes We Hack.