برنامه باگ باونتی Bug bounty program

برنامه باگ باونتی یا Bug bounty program چیست؟

برنامه باگ باونتی یا باگ بانتی (Bug bounty program) یا برنامه جایزه اشکال به برنامه‌هایی گفته می‌شود که برای شناسایی اشکالات و باگ های یک محصول یا سرویس برگزار می‌شود. این برنامه ها معمولا برای یافتن باگ های محصولات نرم افزاری و سرویس ها، مشکلات وبسایت ها و … (به خصوص باگ ها و آسیب پذیری های امنیتی و عملکردی) برگزار می‌شوند.

جزئیات و روند برگزاری

در باگ باونتی ها افراد مختلف تلاش می‌کنند مشکلات و ایرادهای نرم افزار یا سرویس موردنظر را شناسایی و گزارش کنند. افرادی که موفق به انجام این کار می‌شوند در صورت تأیید از طرف برگزارکننده برنامه (معمولا صاحب محصول) جایزه ای دریافت می‌کنند.

هدف برنامه های جایزه اشکال یابی اینست که اشکالات و باگ های محصول پیش از آنکه عموم مردم یا افراد سودجو از آن آگاه شوند شناسایی شود. به این ترتیب قبل از آنکه این باگ ها مورد سوء استفاده قرار بگیرند توسط متخصصین برطرف می‌شوند.

معمولا سازمان ها متناسب با اهمیت اشکال یا باگ شناسایی شده جایزه های متنوعی در نظر می‌گیرند. جایزه های باگ باونتی ممکن است از مبالغ اندک و هدیه های نسبتا کوچک تا استخدام در شرکت و مبالغ یا جایزه های گران‌قیمت را شامل شود.

جالب است بدانید بسیاری از سازمان ها و شرکت های بزرگ برای باگ های مهم جوایزی تا چند ده هزار دلار پرداخت می‌کنند. گوگل، مایکروسافت و متا از جمله شرکت‌های بزرگی هستند که برنامه های Bug bounty برگزار می‌کنند.

شکارچیان باگ (یا Bug hunters) در سراسر جهان از میان افراد عادی، هکرها، کارشناسان امنیتی و تست محصول، توسعه دهنده های نرم افزار و … در برنامه های باگ باونتی شرکت می‌کنند. برخی برنامه های Bug bounty در محل مشخصی به صورت حضوری و در مدت معین برگزار می‌شوند.

مزایای باگ باونتی

برگزاری برنامه های باگ باونتی می‌تواند به سازمان ها در ارائه محصولات ایمن‌تر و با اشکالات کمتر کمک کند. به این ترتیب از هزینه‌های ناشی از سوء استفاده هکرها و مردم عادی پس از شناسایی یک اشکال تا حدودی جلوگیری می‌شود. این درحالیست که سازمان تنها بابت باگ های واقعی و اثرگذار ملزم به پرداخت هزینه یا جایزه خواهد بود.

از طرف دیگر این برنامه ها به شناسایی و استخدام افراد شایسته برای تیم‌های امنیتی و … کمک می‌کنند. همچنین اختصاص جایزه‌های مناسب، افراد را به تلاش برای شناسایی باگ ها با اهداف مثبت و به صورت قانونی تشویق می‌کند. این درحالیست که در نبود برنامه های باگ باونتی، پس از شناسایی باگ تنها راه درآمد برای فرد، اخاذی از شرکت سازنده محصول، فروش اطلاعات و … خواهد بود.