给予足够的时间,互联网上的群众将在任何软件中找到安全缺陷。

智能公司正在利用这一权力来获胜。特别是Bogcurdd在糟糕的家伙可以利用它们之前,丛队汇编众包来修复大公司的安全缺陷。

这项业务是凯西埃利斯的Brainchild,他将在许多人之前将大量饮用的安全研究人员支付大量奖金,以至于许多人意识到它们。Bogcrowd已签署了10,000多名黑客以查找错误。它还签署了一堆愿意向那些在软件中找到缺陷的人进行奖励或错误赏金的公司。黑客可以安全地接近一家公司使用Bugcrowd的公司,而不必担心被扯掉或起诉,并且一家公司可以依赖于事实抛出了黑客的可靠性历史。

这种众包可以是具有致力于修复自己的安全缺陷的小资源的公司的巨大力量乘数。我们在拉斯维加斯最近的黑帽安全会议上采访了Ellis。这是我们谈话的编辑成绩单。

VidtureBeat:告诉我所有关于Bogcrowd的所有信息。

凯西ellis:Bugcrowd代表我们的客户运行Bug Bounty程序。我们建立了一个平台,以使过程高效和安全。一方面,你有研究人员,目前10,500。在另一边,有人看到Facebook或Google Bounty程序,就像那个想法一样。他们希望开始将其应用于他们如何做安全。无论是在那种非常开放,公开的方式还是以一种更私有和信任等等的方式。

vb:走了多久了?

ellis:大约18个月前,在2013年初。我们在悉尼的加速度方案中被接受,并确实四个月了。它正在工作。我在这里出来了,抬起了种子圆,并搬到了湾区。

以上:Bodcrowd Tablet用户界面

图像

vb:在技​​术上使它在技术上工作有什么关系?

ellis:在最初的情况下,它是关于证明概念。我的背景在此之前,我运行了一家安全服务公司的渗透测试公司。好的,好吧,我们可以以一种已经卖给已经卖的格式构建这个错误的赏金模型,他已经消耗这种类型的服务,可能会胃?在提供解决方案方面,该模型是否会工作,并将购买它?这是我们前四个月的大部分时间,证明了这件作品。

vb:现在有什么样的活动水平?有多少人使用它?

ellis:我们昨天推出了一个媒体计划。Indeed.com刚刚打开。我们有Pinterest,Heroku,那里的几个人。他们是公开的程序。我们还运行私人计划,它只是一个值得信赖的测试人员。迄今为止,我们已经运行了95个计划。

vb:您如何处理整个型号周围的问题?

ellis:当我们开始时,这个概念被视为甚至是疯狂的想法而不是现在。你会来这样的地方,并与人们谈论众包的概念,能够找到漏洞。它在市场上起飞。我们正在做我们的作品来推动它,但无论如何都在发生。这是因为软件总是要有安全漏洞,因为人们并不完美。并且没有足够的人找到它们。在恶劣的家伙所做之前能够找到这些问题的人的需求很高。

所以问题,我们还有其他可以做到这一点并将它们应用于问题的人吗? - 众包为此。毕竟,这就是坏人的作用。

vb:公司如何描述他们的问题,以便他们可以让人们解决它们?

ellis:当我们参与某人时,我们发现了,他们想运行开放式计划或私人计划吗?如果他们想运行一个开放式计划,我们将通过准备这一点的过程带走。我们会安静地开始,让他们习惯于处理研究人员,然后开始打开它。这是一个问题,你希望这些家伙要测试什么?您希望它们不测试什么?你最感兴趣的是什么?

错误赏金的方式,找到每个唯一问题的第一个人得到了奖励。这个问题的创造性或严重越多,他们就越好了。客户可以做的一件事就是说,“我们特别关注这件事作为公司。如果发生这种情况,那将是特别有影响的。如果您可以向我们证明,那里有问题,我们可以解决它,我们将奖励您超过我们通常会奖励。“通常,如果他们已经做了像渗透测试,安全测试,他们已经知道这一点。他们会进入这个过程中的叉车。

vb:您与黑客辛勤谈判的日子相比,您有什么样的问题?一家公司可以扯掉黑客,只是拿走信息而不是支付。

1 2查看全部