Softwarefehler Bounties steigen, wenn Unternehmen um Talente wetteifern

Dasjenige DevOps-Plattformunternehmen GitLab hat seine Auszahlung zu Gunsten von kritische Schwachstellen um 75 % erhoben und sich neu verpflichtet, zu Gunsten von kritische Probleme zwischen 20.000 und 35.000 US-Dollar zu zahlen und die Höchstauszahlung zu Gunsten von andere Schweregrade um 50 % zu steigern, teilte dies Unternehmen am 22. November mit.

Dasjenige Unternehmen schließt sich einer Warteschlange anderer Firmen an, die ihre Auszahlungen zu Gunsten von Forscher steigern, die Software-Schwachstellen finden und melden, die von Entwicklern behoben werden sollen. In den letzten zwei Jahren nach sich ziehen Microsoft, Google und Atlassian jeder ihre Belohnungen zu Gunsten von Forscher erhoben, die Fehler melden. Dieser Markt hat sich erwärmt, da Unternehmen erkannt nach sich ziehen, dass Softwarefehler Bounties ihre internen Sicherheitsprogramme ergänzen, Risiken reduzieren und letztendlich die Preis zu Gunsten von die Identifizierung von Schwachstellen senken, sagt Johnathan Hunt, Vice President of Security im Rahmen GitLab.

“Welches am Finale sowohl gut wie zweitrangig schlecht ist”, sagt Hunt. “Es ist gut, dass wir unsrige Anwendungssicherheit verbessern; … wir verschieben die Sicherheit nachdem sinister und finden Schwachstellen, vor sie publik werden. Andererseits dies hält Forscher zweitrangig davon ab, zusätzliche Zeit gen unserer Plattform zu zubringen. “

So erhoben dies Unternehmen die Prämien zu Gunsten von Schwachstellen.

Dieser Trend im Rahmen Softwarefehler-Bounty-Programmen unterstreicht die schwierige Balance, die Unternehmen zwischen jener Zusammenarbeit mit Forschern und jener gleichzeitigen Einleitung von Tools und Prozessen finden zu tun sein, die Schwachstellen weniger wahrscheinlich zeugen. Insgesamt ist dies Motivation jener Forscher an Softwarefehler-Bounty-Programmen gestiegen: Dasjenige Softwarefehler-Bounty-Management-Unternehmen HackerOne behauptet, dass im Jahr 2020 63 % mehr Forscher Sicherheitslücken eingereicht nach sich ziehen wie im Vorjahr. Sicherheitsprobleme in ausgereiften Produkten sind jedoch im Allgemeinen schwerer zu finden, insbesondere die kritischen Schwachstellen, die zu den höchsten Prämien münden.

Wenn sich die Tools verbessern und Unternehmen die Anwendungssicherheit verbessern, verschwinden die am leichtesten zu findenden Schwachstellen – sogenannte „low-hanging fruit“ – und es bleiben nur schwergewichtig zu findende Probleme übrig. Dasjenige bedeutet, dass mit zunehmender Reife des Softwarefehler-Bounty-Ökosystems die Aufrechterhaltung des Interesses jener Forscher größere Kopfgelder erfordert, sagt Casey Ellis, Gründer und CTO jener Crowdsource-Sicherheitsfirma Bugcrowd.

“Wenn eine Organisation ihre Anreize gen ein bestimmtes Niveau gesetzt hat und sich die Schnelligkeit gültiger Berichte zu besänftigen beginnt, ist dies sozusagen eine Erscheinungsform Graduierung: Es ist Zeit, die Belohnungen zu steigern und die nächste Stufe zu klappen”, sagt er. “Damit werden Hacker aktiviert, die unter Umständen weniger an einem geringeren Kopfgeld wissensdurstig waren, und hat zweitrangig den Ergebnis, dass jeder Teilnehmer stärker fokussiert werden.”

Durch die Erhöhung seiner Prämien hält GitLab mit vielen anderen softwareorientierten Unternehmen Schritttempo. Vor einem Jahr erhöhte Microsoft sein höchstes Windows-Bounty gen 100.000 US-Dollar und fügte im vergangenen Jahr einer Vielzahl von Anwendungen und Cloud-Diensten hochwirksame Boni hinzu. Microsoft führt 17 verschiedene Softwarefehler-Bounty-Programme durch, im Rahmen denen 341 Forscher insgesamt 1.261 qualifizierte Berichte einreichten und im sechster Monat des Jahres 2021 zusammen 13,6 Mio. US-Dollar einbrachten 662 Forscher, mit einem Top-Preis von 132.500 US-Dollar zu Gunsten von eine einzelne Schwachstelle.

Atlassian verdoppelte seine eigene Top-Zuschlag im Mai 2021 gen 10.000 US-Dollar zu Gunsten von seine Cloud-Kernprodukte. GitHub, ein Wettbewerber von GitLab und Bitbucket von Atlassian, zahlte mehr wie 524.000 US-Dollar an Forscher zu Gunsten von 203 gemeldete Sicherheitslücken. Die maximale Auszahlung von GitLab beträgt jetzt 5.000 US-Dollar mehr wie dies von GitHub angegebene Maximum, nunmehr GitHub behält seine Politik mit offenem Finale im Rahmen und könnte zu Gunsten von vornehmlich schwerwiegende Schwachstellen mehr bezahlen.

Dieser Wettbewerb zwischen Unternehmen wird wahrscheinlich zu einer größeren Nachfrage nachdem Forschern münden, sagt Hunt von GitLab.

Während wir unsrige Belohnungen steigern, “versuchen wir, die Stress und dies Engagement zu steigern und uns gen unser Sendung zu unterordnen”, sagt er. “Wir versuchen, weltweit ein breiteres Spektrum an Talenten und Fähigkeiten zu profitieren. Ehrlich gesagt wird es wirklich schwieriger, Schwachstellen gen unserer Plattform zu finden. Dasjenige sind manche jener Rückmeldungen, die wir erhalten nach sich ziehen.”

GitLab und andere Unternehmen funktionieren noch an jener richtigen Strategie, um die der bevorzugte Lösungsweg geeigneten Forscher zu Gunsten von die Schlussbemerkung ihrer Plattformen zu profitieren. Andererseits zu Gunsten von die kritischsten Fehler mehr Kopfgeld zu zahlen, ist nicht unbedingt jener richtige Weg, sagt Hunt.

“In unserem Kernpunkt hätten wir unsrige Softwarefehler Bounties gen 100.000 Dollar steigern können, nunmehr es gibt nur ein paar davon, die jedes Jahr gefunden werden. Wenn wir dies nur täten, würden wir wahrscheinlich nur zwei Leuten viel Geld zahlen.” er sagt. “Die meisten Volk fangen die P1s nicht” [priority 1 issues], und dies hält den Rest davon ab, am Sendung teilzunehmen. Wir funktionieren daran, dies Engagement gen breiter Kampfzone zu steigern.”

Darüber hinaus wird die Fehlerpopulation wahrscheinlich nie erschöpft sein, da ständig neue Software erstellt und aktualisiert wird, sagt Ellis von Bugcrowd. Mehr wie 15 Jahre nachdem jener Hacker Samy Kamkar im Social-Media-Tätigkeit MySpace eine Cross-Site-Scripting-(XSS-)Schwachstelle gefunden hat, die dies Potenzial von XSS zu einem großen Problem aufzeigt, sind ähnliche Schwachstellen derselben Stil leichtgewichtig zu finden, weil sie schwergewichtig sind zu verhindern und ein einfacher Fehler zu Gunsten von Entwickler zu zeugen.

Während die “Superjäger” die lukrativsten Auszahlungen erzielen könnten, sind konsistente Fehlersucher in der Regel und werden weiterhin Werkstoff zur Verfügung nach sich ziehen, mit dem sie funktionieren können, sagt Ellis.

„In allen Gruppen gibt es Volk, die sich gen komplizierte Angriffsketten und die Verwendung jener Geschäftslogik unterordnen, dann gibt es Volk, die nachdem einfacheren Problemen suchen, nunmehr normalerweise gen eine Weise, an die andere noch nie gedacht nach sich ziehen“, sagt er. “Es braucht wirklich sehr viel.”