Programul nostru privat de recompense de bug-uri: reducerea vulnerabilitatilor prin valorificarea multimilor de experti

Aceasta postare a aparut initial pe site-ul de securitate LinkedIn la security.linkedin.com.

Unul dintre cele mai bune moduri in care ne protejam membrii este identificarea vulnerabilitatilor inainte de lansare printr-o analiza atenta a proiectarii si teste pre-lansare. In acest mediu in schimbare rapida, in care livram cod de mai multe ori pe zi, urmarim si vulnerabilitatile in productie.

Relatia noastra puternica cu comunitatea de securitate este cruciala pentru acest proces si apreciem munca cercetatorilor individuali care isi contribuie expertiza si timpul pentru a face din LinkedIn un loc mai sigur pentru membrii nostri. In octombrie 2014, am oficializat acest parteneriat cu crearea programului privat de recompense de bug-uri LinkedIn.

Participantii la programul nostru de recompense de erori private au raportat peste 65 de erori care pot fi actionate si am implementat cu succes remedieri pentru fiecare problema. Participantii ne-au dat feedback pozitiv cu privire la program si, in schimbul muncii lor, am platit mai mult de 65.000 de dolari in recompense.

De ce un program privat?

Acest program a aparut din angajamentul cu cercetatorii in domeniul securitatii in ultimii ani. In timp ce marea majoritate a rapoartelor trimise la adresa noastra de e-mail de notificare [email protected] nu erau actionabile sau semnificative, a aparut un grup mai mic de cercetatori care au oferit intotdeauna scrieri excelente, au fost o placere sa lucreze cu ei si s-au exprimat cu adevarat preocupati de reducerea riscului introduse de vulnerabilitati. Am creat acest program privat de recompense pentru bug-uri – am apreciat sa lucram cu persoane dedicate practicilor coordonate de divulgare si am dorit sa le angajam intr-o relatie mai profunda si reciproc plina de satisfactii.

Echipa noastra de securitate lucreaza direct cu fiecare participant pentru a gestiona fiecare trimitere de erori de la inceput pana la sfarsit. Proiectarea programului nostru inseamna ca putem oferi cercetatorilor care fac parte din programul nostru aceeasi experienta pe care ar avea-o daca ar fi in echipa noastra depunand erori chiar alaturi de noi. Cand ne-am construit programul, am recunoscut ca logistica in jurul platii si urmaririi necesita un furnizor de servicii. Am selectat HackerOne pentru a ne ajuta, in special pentru capacitatea echipei lor de a gestiona platile, un proces care necesita o diligenta semnificativa pentru raportarea fiscala si contabilitate.

Am evaluat crearea unui program public de recompense pentru erori. Cu toate acestea, pe baza experientei noastre de gestionare a rapoartelor de erori externe si a observatiilor noastre asupra ecosistemului public de recompense de erori, credem ca valoarea-cost a acestor programe nu se mai potriveste obiectivelor aspirationale pe care le aveau initial.

Acest program privat de recompense pentru erori ofera echipei noastre puternice de securitate a aplicatiilor interne capacitatea de a se concentra pe securizarea urmatoarei generatii de produse LinkedIn, in timp ce interactioneaza cu o comunitate mica si calificata de cercetatori externi. Programul este invitat doar pe baza reputatiei cercetatorului si a lucrarilor anterioare. Un factor important atunci cand lucrati cu rapoarte de securitate externe este raportul semnal-zgomot: raportul dintre rapoartele bune care pot fi actionate si rapoartele care sunt incorecte, irelevante sau incomplete. In prezent, programul privat de recompense pentru erori al LinkedIn are un raport semnal / zgomot de 7: 3, care depaseste semnificativ raporturile publice ale programelor populare de recompense de erori publice.

Continuam sa gestionam un numar semnificativ de vulnerabilitati prin [email protected] si incurajam pe oricine sa raporteze erori. Ne mandrim cu raspunsul nostru profesional si in timp util catre oricine ne contacteaza pentru a impartasi o vulnerabilitate care ar putea afecta LinkedIn si membrii nostri.

Am vrut sa ne asiguram ca oferim rezultate puternice inainte de a vorbi despre program; vedem lucruri grozave pana acum. Impartasirea abordarii noastre diferite poate adauga, de asemenea, o anumita nuanta dialogului pe care altii il pot gasi utile. Vom avea multe mai multe de spus despre recompensele de bug-uri publice si private, precum si despre programul nostru de securitate a aplicatiilor de la Black Hat USA anul acesta. Directorul nostru principal de programe tehnice, David Cintz si cu mine, vom prezenta „The Tactical Application Security Program: Getting Stuff Done” la Briefings. Treci si ne vezi!