باگ بانتی باگدشت در طول دو سال فعالیت خود با همکاری تیم حقوقی و فنی خود برنامه اعلام باگ یا VDP را متناسب با نیازمندی هر سازمان بصورت عمومی و اختصاصی ایجاد نموده است.
در این ویدیو؛ مدیر عامل مجموعه باگدشت در خصوص راهکار بین المللی کاهش مسایل حقوقی اعلام باگ امنیتی را عنوان نموده است.
برنامه VDP(Vulnerability Disclosure Program) کانال امن برای محقق امنیت سایبری است که بدون مشکل بتواند آسیبپذیری، باگ و مشکلات نرمافزاری را به سازمان اعلام کند و از سوی دیگر سازمان هم اطمینان حاصل نماید که الزامات او در خصوص روال شناسایی مشکلات امنیتی رعایت شده است.
هم به بررسی یک مثال در دنیای فیزیکی میپردازیم. در صورتیکه یکی از شهروندان؛ فعالیت مشکوکی در محله دیدند میبایست آن را به سرعت گزراش کنند. برطبق این توافق اگر همسایهای دید که در یکی از همسایه باز مانده است به صاحب خانه خبر میدهد. اما اگر شماره همسایه در اختیار شما نباشد به چه شکلی خبر باز بودن در خانه را اطلاع میدهید؟ و یا اینکه اگر یاداشتی بگذارید از کجا متوجه خواهید شد یادداشت حتما به دست صاحاب خانه میرسد؟ این مشکل در دنیای سایبری نیز وجود دارد و متخصصین بین المللی آن را با راهکاری با نام VDP یا برنامه اعلام باگ امنیتی رفع نمودهاند. با توجه به این مثال یک VDP راهکاری رسمی و مداوم برای محققان امنیتی برای گزارش خطرهای امنیتی به صاحبان کسب کار فراهم میکند و کانالی فراهم میکند که شرکت سازنده حتما گزارش آسیبپذیری را در امنترین و سریعترین حالت در دسترس داشته باشد.
موانع و فواید برنامه اعلام باگ:
پلتفرم باگ بانتی باگدشت کانالی مطمئن برای محققین امنیتی و سازمانها ایجاد کرده است که بتوانند به دور از حواشی حقوقی به ایمنسازی سامانههای سازمانی بپردازند.
برای کاهش مسایل قضایی برای سازمان و متخصص امنیتی؛ شرکتها باید فرایندی قوی برای بررسی باگهای امنیتی داشته باشند. سازمان باید به صورت شفاف اعلام کند که چه کسی حق اعلام باگ امنیتی را دارد و برای هر سطح گزارش چه مقدار بانتی درنظر گرفته شده است. بهعلاوه باید به محقق اعلام شود بعضی از حملات مانند DoS، مهندسی اجتماعی و هرحملهای که به سرویس شرکت ضرر میرساند مورد قبول نمیباشد. هدف اجرای این برنامه باید به صورت واضح تعریف شود به شکلی که هرگونه عملیات مخرب در حوزه این هدف نباشد. بهعنوان مثال شرکت فیسبوک در برنامه اعلام باگ خود نیازمندیهایی برای فردی که میخواهد به شناسایی باگ بپردازد گذاشته است که شامل:
- راهنما برای پایبندی به مسئولیت قوانین افشا اطلاعات.
- گزارش مشکل باگ شامل محصول یا سرویس در حوزه هدف باگ بانتی باشد و شامل انواع دیگر ریسکهای امنیتی خارج این حوزه نباشد.
- گزارش کردن باگ ازطریق یک فرم بخصوص باشد که در بانتی ارایه شده است.
- از یک حسابکاربری تست برای جستجوی باگ استفاده شود که باعث افشای ناخواسته اطلاعت کاربران و تداخل در سرویس آنها نشود.