باگ‌بانتی یا جایزه آسیب‌پذیری سرویسی است که از ظرفیت تخصصی موجود در جامعه برای ارایه خدمات به مشتریان خود استفاده می‌کند. این سرویس در ازای کشف و شناسایی باگ‌ها و خطاهای نرم‌افزاری توسط متخصصین امنیتی به آنها جایزه یا پاداش اهدا می نماید و در ادامه مزایای باگ بانتی و نحوه اجرای باگ بانتی گفته خواهد شد.

شرکت‌های بسیاری برنامه‌های باگ بانتی را اجرا می‌کنند و به محققین امنیتی و هکرهای کلاه سفید در ازای شناسایی آسیب‌پذیری‌های سرویس‌‌های سازمان که پتانسیل اکسپلویت شدن را دارند، جایزه پرداخت می‌کنند. گزارش‌های باگ باید اطلاعات کافی برای ارایه بانتی به سازمان را مستند نماید تا سازمان قابلیت اجرا و مشاهده مجدد آسیب‌پذیری را داشته باشند. مقادیر بانتی‌ها متناسب با وسعت سازمان‌ها، شدت سختی و آسانی نفوذ به سیستم‌ها و میزان تاثیری که باگ روی کاربران سیستم خواهد داشت می‌باشد.

باگ بانتی باگدشت نیز به واسطه تخصص و تجارب خود در حوزه ارزیابی امنیتی و ایمن سازی سامانه‌های سازمانی، با عقد تفاهم نامه‌های همکاری از طریق پلتفرم واسط خود به آدرس Bugdasht.ir میان متخصصین امنیتی کشور و سازمان‌ها و شرکت‌های ارایه کننده خدمات بر بستر فناوری اطلاعات ارتباط ایجاد می‌نماید. همکاری سه وجهی متخصصین، سازمان‌ها و باگدشت در این اکوسیستم منجر به محیطی سازنده برای تمامی ذینفعان و محیطی ایمن‌تر جهت ارایه خدمات در کشور خواهد شد.

مزایای باگ بانتی

  1. شناسایی باگ های بیشتر در ازای داشتن متخصصین بیشتر در مقابل تست نفوذ
  2. شناسایی باگ‌های امنیتی قبل از آسیب رساندن آن‌ها به سازمان
  3. معرفی و کاربری سامانه‌های سازمان توسط طیف بیشتری از کاربران متخصص
  4. پرداخت به ازای هر باگ واقعی و کاهش معنادار هزینه ارزیابی امنیتی در مقابل تست نفوذ
  5. بهره‌مندی از تخصص کمیته فنی در شناسایی باگ‌های امنیتی واقعی و ارزش آن‌ها
  6. تایید امنیتی سامانه‌های سازمانی توسط کاربران متخصص جامعه
  7. معرفی و پیشنهاد خدمات و سامانه‌های سازمان به مشتریان جدید 

HackenProof

وب سایت شناسایی آسیب پذیری‌های امنیتی توسط افراد مختلف متخصص در حوزه امنیت می‌باشد. در این وب سایت سازمان‌ها درخواست خود را برای بررسی امنیتی سرویس‌های خود توسط متخصصین ثبت می‌نمایند و کمیته تخصصی، محدوده و میزان بودجه مورد نیاز را بر آورد می‌نمایند. پس از شناسایی آسیب‌پذیری‌ها توسط افراد رجیستر شده در وب سایت، موارد تریاژ شده و پس از تایید کمیته داوری، به سازمان ارسال می‌گردد. پس از رفع آسیب پذیری، آیتم شناسایی شده به صورت عمومی در وب سایت نمایش داده خواهد شد. در پایان هر ماه گزارش عملکرد افراد امنیتی تحت عنوان Leader Board نمایش داده خواهد شد و رتبه بندی افراد جهت ایجاد انگیزه ارایه می‌گردد.

Bounty Ethereum

این وب سایت سعی نموده تا اجتماعی از متخصصین امنیتی در حوزه ی بلاک چین (اتریوم) را گردآوری نماید و مسایل و ابهامات امنیتی این حوزه را با همفکری و همکاری یکدیگر بررسی نمایند. از جمله قوانین این وب سایت تکراری نبودن آسیب پذیری گزارش شده، افشا و پابلیک نکردن اطلاعات آسیب پذیری، عدم اکسپلویت و یا وقوع حمله بر روی سرویس مورد تست و همچنین نبودن در تیم سازمان و کارفرما می‌باشد. ارزش‌گذاری آسیب‌‌پذیری‌های شناسایی شده براساس OWASP  انجام می‌گردد و از ۲۵۰۰۰ دلار برای آسیب‌پذیری بحرانی تا ۵۰۰ دلار برای آسیب‌پذیری سطح اثر کم جایزه داده می‌شود. افزودن توضیحات تکمیلی، امکان اجرای مجدد باگ و ارایه راه حل ایمن سازی از امتیاز مجزا برخوردار است. تست‌های این وب سایت دارای زمان نیست و می‌توانند به صورت مستمر تست انجام دهند. پرداخت جوایز چند روز کاری صورت می‌گیرد.

Google Project Zero

این پروژه به تیمی از کارشناسان امنیتی اشاره دارد که توسط گوگل استخدام شده‌اند و وظیفه ی آن‌ها شناسایی آسیب‌پذیری‌های روز صفر در تمامی محصولات است. به دلیل گزارشات متعدد امنیتی کارشناسان مانند HearBleed، شرکت گوگل اقدام به ایجاد تیمی از متخصصین امنیتی و استفاده از پتانسیل افراد در تمامی دنیا نمود. باگ‌های شناسایی شده به سازمان مربوطه گزارش می‌شود و بازه‌ی زمانی ۹۰ روزه مهلت داده می‌شود تا ایمن سازی امنیتی انجام شود، در غیر این صورت به صورت عمومی اعلام خواهد شد. با توجه به چالش این نوع رویکرد، این راهکار منجر به چابک سازی سازمان های مخاطب و ایجاد تیمی امنیتی برای پاسخگویی مناسب به باگ های امنیتی شده است و  بیش از ۹۸ درصد از باگ‌های اعلام شده به سازمان‌ها در طول این بازه زمانی رفع می‌گردند.

HackerOne

در این وب سایت که مهم ترین منبع در این حوزه می‌باشد، اجتماعی از متخصصین امنیتی گردهم آمده‌اند و ارزیابی امنیتی محصولات صورت می‌گیرد. اسپانسر این وب سایت شرکت های بزرگی مانند Microsoft و Github هستند. در این وب سایت افراد متخصص امنیتی براساس عملکرد آن‌ها معرفی می‌نماید. هزینه اعلام شده از ۵۰ دلار برای آسیب‌پذیری سطح اثر کم تا بالای ۱۶۰۰ دلار برای آسیب پذیری بحرانی می‌باشد. ارایه جزئیات در گزارش مانند راه حل رفع، ویدیو، و یا اسنپ شات شواهد و اجرای دوباره آن‌ها الزامی است. پس از شناسایی آسیب‌پذیری‌ها توسط کاربران سایت، موارد توسط کمیته فنی مورد بررسی قرار می‌گیرد و به صورت شفاف اطلاعات تکمیلی جهت تحویل به اشتراک گذاشته می‌شود. در مرحله‌ی بعد باگ تایید شده به سازمان مربوطه ارایه خواهد شد تا اقدامات هاردنینگ را صورت دهد و همینطور جایزه کاربر شناسایی کننده باگ را پرداخت نماید. بسیاری از سازمان‌ها علاوه بر جایزه تعیین شده در وب سایت، بر اساس اهمیت باگ مبالغ بالاتر به فرد شناسایی کننده  باگ پرداخت می‌نمایند. در مرحله ی آخر با ایمن سازی باگ، موارد در وب سایت اعلام عمومی می‌گردد.

Synack

Synack باگ بانتی دیگری مربوط به شرکت آمریکایی در کالیفرنیا می‌باشد که پلتفرم هوشمند آسیب‌پذیری فراهم نموده تا فرآیند شناسایی آسیب‌پذیری‌های قابل اکسپلویت توسط هکرها را جهت تهیه گزارش برای کلاینت‌ها اتوماتیک نماید. Synac توانسته است از این طریق شبکه‌ای از متخصصین امنیتی ۵۰ کشور جهان را جهت چک کردن آسیب‌پذیری‌ها و حل مشکلات امنیتی گرد هم جمع کند.