
Cloudflare, Ücretli Bir Bug Bounty Programı Başlattı
Web altyapısı ve web sitesi güvenliğine odaklanan bir Amerikan şirketi olan Cloudflare, yeni bir genel hata ödül programı başlattığını duyurdu.
Cloudflare'de Ürün Güvenliği Mühendisi olan Rushil Shah, "Bugün Cloudflare'ın ücretli genel hata ödül programını başlatıyoruz" dedi.
"Hata ödüllerinin her güvenlik ekibinin araç kutusunun hayati bir parçası olduğuna inanıyoruz ve son birkaç yıldır özel hata ödül programımızı geliştirmek ve genişletmek için çok çalışıyoruz."
Yeni halka açık hata ödül programı, 2014 yılında oluşturulan nakit ödülleri olmayan bir güvenlik açığı açıklama programını takip ediyor. Bu program aracılığıyla Cloudflare, araştırmacıların altyapısını ve ürünlerini anlamakta zorlandıkları için yalnızca %13'ü geçerli olan 1.197 rapor aldı.
2018'de Cloudflare, araştırmacılar için daha iyi bir deneyim sağlamaya odaklanan özel bir hata ödül programı başlattı. Ocak 2022'nin ortasına kadar Cloudflare, kapsam içi güvenlik açıkları için 211.512 dolar değerinde ödül vererek 2018'de ödenen 4.500 dolardan 2021'de 101.075 dolara yükseldi.
Şirket ayrıca, hata avcılarına açıkları test etmek için standart bir oyun alanı sağlayan yeni halka açık ödül programını yayınlamadan önce CumlusFire adlı bir test sanal alanı yayınladı.
Cloudflare'in yeni hata ödül programı
Bugünden itibaren hata avcıları, Cloudflare ürünlerinde bulunan güvenlik açıklarını, şirketin HackerOne platformunda barındırılan yeni halka açık hata ödül programı aracılığıyla bildirebilirler.
Araştırmacılar, şirketin Geliştirici belgelerini, API belgelerini, Öğrenim Merkezini ve Cloudflare'ın destek forumlarında bulunan malzemeleri kullanarak Cloudflare ürünleri hakkında daha fazla bilgi bulabilir.
Sorunların CVSS3 önem derecesine göre hedefler için ödül ödüllerinin dökümü aşağıdaki tabloda bulunabilir.
önem | Kritik (9.0 - 10.0) | Yüksek (7.0 - 8.9) | Orta (4.0 - 6.9) | Düşük (0,1 - 3,9) |
---|---|---|---|---|
Birincil Hedefler | $3.000 | $1000 | $500 | $250 |
İkincil Hedefler | $2.700 | $750 | $350 | $200 |
Diğer | $2.100 | $500 | $200 | $100 |
Bir güvenlik açığının azaltıcı faktörlerine ve Cloudflare'nin iş riski değerlendirmesine bağlı olarak, bildirilen sorunlar daha düşük bir önem derecesi alabilir.
Shah, "Özel programımızı büyüttüğümüz gibi, araştırmacılara en iyi deneyimi sağlamak için herkese açık hata ödül programımızı geliştirmeye devam edeceğiz" dedi.
Araştırmacıların gönderilerinin geçerli güvenlik sorunlarını temsil ettiğinden emin olabilmeleri için daha fazla belge, test platformu ve güvenlik ekiplerimizle etkileşim kurmanın bir yolunu eklemeyi amaçlıyoruz."
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.