バグ報奨金プログラムが全員失敗する理由 from darkreading.com

この崩壊は通常、賞金稼ぎによって提出されたバグの量に追いつくことができないこれらの会社の圧倒され、働き過ぎのプログラムマネージャー、および脆弱性に満ちたままであり、しばしば最も基本的なセキュリティの欠陥に悩まされているソフトウェアによって予告されます。
これは、資産の可視性、脆弱性管理、開発者トレーニングなどを意味します、とMoussourisは言います。
バグバウンティは、アプリケーションセキュリティ慣行の強固な基盤を補完する優れたものかもしれませんが、一部の組織は、ソフトウェアを安全に保つためにバウンティだけに頼ることができると誤って信じています。
「私たちは、組織が脆弱性開示プログラムやバグ報奨金プログラムでフェンスを越えて投げ出されたバグを修正する準備をするだけでなく、実際に彼らのコアセキュリティ投資を検討することを望んでいます。全体的なセキュリティプログラムの健全性の指標としての報奨金プログラム。考えてみれば、すべてのバグはセキュリティシステムの根本的な障害の症状であるためです。」
優れたセキュリティ成果のための脆弱性報奨金の設計
BlackHatでは、セキュリティチームが報奨金を使用する全体的なプログラムを設計して、必要な意図的なセキュリティ結果を作成する方法についての推奨事項を検討する予定です。