banner

    Sıkça Sorulan Sorular

    Ödül Avcılığı Programı nedir?

    Ödül tabanlı bir güvenlik açığı araştırma programıdır. Ödüller genellikle hataların ciddiyetine göre tanımlanır. Araştırmacılar, gönderdikleri güvenlik açığı raporlarının onaylanmasının ardından hak ettikleri ödülleri alırlar.

    Ödül Avcılığı Programlarına neden ihtiyaç var?

    Ödül avcılığı programlarının, güvenlik açıklarını bulmada mükemmel sonuçlar verdiği kanıtlanmıştır. Etik hackerlar ve güvenlik araştırmacıları, davet edilip edilmediğine bakılmaksızın sürekli olarak güvenlik açıkları arıyor. Keşfettikleri açıkları bildirmeleri için güvenli bir liman sağlayan ve bunu yaptıkları için ödüllendiren kuruluşlar, yalnızca sonuçlar için ödeme yaparken, sürekli test edilme şansı buluyor. Güvenlik araştırmacısının sistemlerinizi test etmesine izin vermek, daha fazla bulgu almanın hızlı ve uygun maliyetli bir yoludur.

    Güvenlik Açığı Bildirim Programı (VDP) nedir?

    Güvenlik açığı bildirimi programları, araştırmacılara, tanımlanmış bir ödül programının dışında açık bulmaları durumunda bunları bildirmek için güvenli bir yol sağlar. Bu durumda güvenli liman üzerinden rapor edilir ve şirket uygun görürse istediği bir ödülle geri dönebilir.

    Ödül programları ile sızma testi programları arasında ne fark var?

    Özelleştirilmiş ödül programları kurumlara güvenlik açıklarını test etmek için ekosistemimizin gücünü kullanma fırsatı sunar. Test uzmanlarının sayısı, becerileri ve kapsama çeşitliliği rekabetçi bir ortamda sizinle buluşur. Otomatik araştırmalar yalnızca kendilerinde tanımlı olan alanları bulur. Sızma testleri uygun maliyetlidir ancak perspektif, zaman ve çaba bakımından sınırlıdır. Ödül programları, her türden güvenlik programı için tamamlayıcı bir araçtır, diğerlerinin yerini almaz.

    Açık programlar ve özel programlar arasında ne fark var?

    Açık programlar platforma üye olan tüm araştırmacıların katılımına açıkken, özel programlar seçili araştırmacılarla sınırlıdır. Araştırmacılar farklı kriterler dikkate alınarak kuruluşların risk perspektifine uyacak şekilde seçilebilir. Açık programlar, çok geniş bir beceri setinin ve daha rekabetçi bir ortamın gücünü sunarken, özel programlar daha denetli bir gruba hitap eder.

    Ödül programlarında neler test edilebilir?

    Şirketler genellikle ödül kapsamlarını mobil uygulamalar, web uygulamaları, IoT, bulut hizmetleri ve API'lar etrafında tanımlar. Programı kurgularken kapsama dahil edilen ve kapsamın dışında bırakılan hedefler net olarak belirtilir. Araştırmacıların çalışmalarında yalnızca kapsama bağlı kalmaları beklenir. Kapsam dışında raporlanan bulgular ödüllendirilmez.

    Araştırmacıların kimlik doğrulamaları ve incelemesi nasıl yapılır?

    Çeşitli denetim ve seviyelendirme yöntemleri vardır: kimlik kontrolü, özgeçmiş kontrolü, gizlilik anlaşması, yüz yüze görüşmeler, yasal belgeler ve en önemlisi bizim veya küresel bir ödül platformunun lider tablosunda adı geçen bir üyesi olmak. Biz 5 seviyeli bir inceleme süreci işletiyoruz. Buna dahil olmak araştırmacının inisiyatifindedir. Özel programlara davet edilmek isteyen araştırmacıların bu doğrulama süreçlerinden geçmesi gerekmektedir.

    Araştırmacılar çalışmalarının karşılığını nasıl alırlar?

    Blockchain destekli platformumuz, Ödül Programı kapsamındaki güvenlik açıklarını ilk tespit eden ve doğrulatan araştırmacıların ödemelerini gerçekleştirir. Doğrulayıcılar ve müşteriler bildirilen açığı gözden geçirip onayladıktan sonra, Bugbounter platformu gerisini kripto para, IBAN veya Paypal transferi ile halleder. Bazen parasal olmayan hediyeler ve takdirler gibi ödüllendirme yöntemleri uygulanabilir. Açıklanan ödülün tümü araştırmacıya verilir, kesinti yapılmaz.

    Araştırmacılar tarafından tespit edilen açıklar dış dünyada açıklanır mı?

    Keşfedilen güvenlik açığı gizli tutulur. Müşteriler, güvenlik açıklarının kamuya açıklanmasına izin vermeyi seçebilir, ancak bunu yapmak zorunda değildir. Araştırmacı ancak müşteri buna izin verirse, izin verilen ölçüde bir paylaşımı yapabilir.