बग बाउंटी कार्यक्रम और प्रवेश परीक्षण के बीच शोडाउन
22 मार्च, 2018 को, नेटफ्लिक्स ने "बग बाउंटी" कार्यक्रम शुरू किया जो हैकर्स को क्षतिपूर्ति करता है जो कंपनी को भेद्यता की रिपोर्ट करता है। यह कुछ ऐसा है जो कंपनी ने पिछले पांच सालों से किया है, लेकिन केवल प्रतिबंधित सेटिंग में। अब जब यह जनता के लिए कार्यक्रम खोला गया है, तो इसमें बड़ी संख्या में हैकर्स साइट को व्यापक रूप से देख रहे होंगे।
यह अभ्यास थोड़ा अराजक प्रतीत हो सकता है, लेकिन कई लोग जोर देते हैं कि आपकी वेबसाइट को हैक करने के लिए अजनबियों को भुगतान करना संभावित खतरों के खिलाफ इसे सुरक्षित करने के सबसे प्रभावी तरीकों में से एक है। सवाल यह है कि, बग बक्षीस कार्यक्रम इन-हाउस प्रवेश परीक्षा टीम के मुकाबले वास्तव में अधिक प्रभावी हैं या नहीं।
कैसे प्रवेश परीक्षण काम करता है
प्रवेश परीक्षण विकास चक्र का एक सामान्य हिस्सा है जो आम तौर पर जनता को उत्पाद जारी होने से पहले किया जाता है। इसमें व्यक्तियों की एक टीम, या तो आउटसोर्स या इन-हाउस शामिल है, जो उस सॉफ्टवेयर या सिस्टम को "हैक" करने का प्रयास करती है जिसे कंपनी रिलीज करना चाहती है। इसके बाद वे मंच पर पाए गए सभी भेद्यताओं की रिपोर्ट करते हैं, जिससे डेवलपर्स इन समस्याओं को ठीक करने से पहले इन समस्याओं को ठीक करने की अनुमति देते हैं।
प्रवेश परीक्षण के दौरान, टीम आम तौर पर सभी संभावित भेद्यताओं को उजागर करने के लिए एक सेट प्रक्रिया का पालन करती है। इसमें उन तकनीकों का उपयोग शामिल हो सकता है जो हैकर आमतौर पर सिस्टम और सॉफ़्टवेयर घुसपैठ करने के लिए उपयोग करते हैं। आप अपने सॉफ्टवेयर में महत्वपूर्ण क्षेत्रों की एक व्यापक सूची के साथ समाप्त हो जाते हैं कि अधिकांश हैकर विचलित करने में सक्षम होंगे।
क्या बग बक्षीस इतना आकर्षक बनाता है?
जब आप एक बग बाउंटी प्रोग्राम बनाते हैं, तो आप मूल रूप से जनता को बता रहे हैं कि आप किसी भी व्यक्ति को एक महत्वपूर्ण राशि का भुगतान करने के इच्छुक हैं जो आपके लिए महत्वपूर्ण भेद्यता की रिपोर्ट करता है। एक सफल बग बक्षीस चलाने के लिए, आपको कुछ ग्राउंड नियम निर्धारित करने की आवश्यकता है ताकि लोगों को पता चले कि इस तरह की खोज के दौरान किस प्रकार का व्यवहार अस्वीकार्य है।
इस तरह की नीति होने के बावजूद काउंटर-अंतर्ज्ञानी के बावजूद, बग बाउंटी पारंपरिक प्रवेश परीक्षण पर कुछ निश्चित लाभ प्रदान करते हैं:
- एक बार भेद्यता में प्रतिभागियों को भुगतान किया जाता है जब एक भेद्यता पाई जाती है, जो सभी सॉफ़्टवेयर की पूरी तरह से स्वीप करने के लिए प्रोत्साहन बनाती है। प्रवेश परीक्षण इन प्रोत्साहनों को प्रस्तुत नहीं करता है, क्योंकि टीम के सदस्यों को भुगतान किया जाता है कि वे कितने अच्छी तरह से हैं।
- बाउंटी हजारों कुशल हैकर्स को अपनी मेटल का परीक्षण करने का मौका देते हैं, जो अविश्वसनीय दृष्टिकोण प्रदान करते हैं। प्रवेश परीक्षण टीमों को आकार में प्रतिबंधित किया जाता है। उनके कौशल के बावजूद, उनका परिप्रेक्ष्य सीमित है।
- कई बग बाउंटी प्रतिभागी कुशल पूर्णकालिक पेशेवर होते हैं जो एक ही समय में कई अलग-अलग शिकारों में भाग लेते हैं।
- बड़ी "हमले की सतह" वाली कंपनियां (यानी सॉफ़्टवेयर जो उल्लंघनों के लिए बहुत प्रवण है) उन बगों को उजागर कर सकते हैं जिन्हें पहले अपनी टीमों द्वारा छोड़ा गया था।
प्रवेश परीक्षा अभी भी प्रासंगिक क्यों है
बग बक्षीस महान और सभी हो सकते हैं, लेकिन वे उन कंपनियों के लिए जरूरी नहीं हैं जिनके पास विशाल समुदायों नहीं हैं। यही वजह है कि प्रवेश परीक्षण अभी भी एक बड़ी घटना है। यदि आप मेडिकल सप्लाई सॉफ्टवेयर कंपनी हैं, उदाहरण के लिए, आपको हजारों लोगों के समुदाय के साथ एक वीडियो गेम स्टूडियो के रूप में कई इच्छुक प्रतिभागियों को नहीं मिल सकता है।
प्रवेश परीक्षण अभी भी अन्य फायदे प्रदान करता है जो कंपनियों को पूरी तरह से बग बक्षीस के विचार से दूर रखने के लिए मना सकते हैं:
- इससे पहले कि आप उन्हें ठीक करने का मौका लें, आप जनता के सामने आने वाली अपनी भेद्यताओं के जोखिम को कम करें। यहां तक कि यदि आप अपने बग बक्षीस में इसके खिलाफ एक नियम निर्धारित करते हैं, तो भी लोग इसे गलत व्याख्या करने के लिए बाध्य हैं।
- आउटसोर्स किए गए प्रवेश परीक्षण कंपनियां प्रमाणन प्रदान कर सकती हैं जो आपके ग्राहकों के लिए महत्वपूर्ण है।
- प्रवेश परीक्षण में रिपोर्टिंग की गुणवत्ता अक्सर अधिक होती है।
- यह अत्यधिक विनियमित बाजारों में उपयोगी है (जैसे भुगतान प्रसंस्करण और कुछ भी जो बैंक / डेबिट / क्रेडिट कार्ड डेटा को संभालता है)।
क्या आप अपने बग बाउंटी प्रोग्राम की वजह से नेटफ्लिक्स का उपयोग करके सुरक्षित महसूस करते हैं? या क्या कंपनी प्रवेश परीक्षा टीम के साथ काम करने से बेहतर रही होगी? टिप्पणी के बारे में सब कुछ बताओ!