Böcek ödül endüstrisinde, yinelenen gönderimler, iki veya daha fazla araştırmacının aynı sorunu veya güvenlik açığını bildirdiğinde söz konusudur.
Bir böcek ödül platformuyla çalışan bir araştırmacı bir güvenlik açığını tanımladığında, platforma incelendiği Intigriti gibi bir rapor gönderirler. Sorun zaten rapor edilmişse, bir kopya olarak işaretlenir.
Kopyaları gözlemlemek, araştırmacıların aynı hatayı nerede bulduğunu gösterir, bu da bir hatanın keşfedilebilirliğinin daha yüksek olduğunu ve bu nedenle gözlemlenen sorunu ele almak için daha fazla öncelik eklemek için önemli bir gösterge olabileceğini gösterebilir.
Bazen, bir yinelenme, bir başkası ilk önce güvenlik açığını bildirirken, hatanın geçerli olduğunu ve sistem, program veya ortamda gerçek bir güvenlik açığının tanımlanmasına katkıda bulunduğunu kabul etmek için ‘kabul edilen bir kopya’ olarak işaretlenebilir.
Genel olarak, başvurular kodda aynı altta yatan kök nedenleri varsa kopyalar olarak işaretlenebilir. Şüphe duyduğunuzda, kendinize ilk raporun düzeltilmesinin diğer raporu da düzeltip düzeltmeyeceğini sorun. Örneğin, iki farklı uç noktada iki düzeltme uygulanması gerekiyorsa, bir düzeltme ikinci güvenlik açığının bulunmasını engellemeyeceğinden, gönderim kopya olarak kabul edilmeyecektir.
Kopyaları tanımlamaya ilişkin daha fazla araştırma ipucu için ‘kopya, ilgili veya bilinen güvenlik açığı raporlarını’ okuyun.
Keşfedildiği gibi, bir hacker’ın bir güvenlik açığı bildirdiği, ancak zaten bulunduğunda ve hala düzeltildiği veya düzeltilme sürecinden geçtiği zamandır. Bunlar dupes olarak işaretlenir ve ödüllendirilmez.
Öte yandan, bir hacker’ın bir talepte bulunmasıdır. Bu sunum düzeltildi, ancak aynı güvenlik açığı için başka bir sunum yapıldı. Bu, güvenlik açığının sabit olmadığını veya tekrar kırıldığını gösterir.
İşte tekrar gönderimlerin iki örneği:
1. BT güvenlik ekibi, bildirilen güvenlik açığını düzeltmek için geliştirme ekibini bilgilendirdi. İş akışı bileti kapalı. Ancak dağıtımın sorunu çözmediği ortaya çıkıyor. Kısa bir süre sonra, bir hacker güvenlik açığından tekrar yararlanır.
2. Dağıtım, rapor edilen sorunu çözer, ancak hatta başka bir sürüm daha riski tekrar açar. Bu, özellikle haftada birçok sürüm olan daha büyük kuruluşlarda gözlenmektedir. Burada, aynı güvenlik açıklarının, gerçekleştiklerinde izlemesi yerine, tekrar gerçekleşmesini sağlamak daha zor olabilir.
Kuruluşlar için önemli bir maliyet, kabul edilen birden fazla tekrar ve kopya için potansiyel ödemelerdir. Birden fazla araştırmacı aynı sorunu aynı zaman dilimi içinde sunarsa, aynı, tek güvenlik açığı için birden fazla ödemeye yol açabilir, bu da hayal kırıklığına yol açabilir.
Son analizimiz, bir programın bildirilen güvenlik açıklarının ortalama% 3’ünün daha önce ele alındığını ancak o zamandan beri yeniden ortaya çıktığını buldu. Bu, şirketlere mal oluyor ve riski kötü amaçlı saldırılara açık bırakıyor. Müşterilerimizin güvenlik kapsamına daha fazla güvenebilmeleri ve güvenlik açıklarının tekrarlamaması için yeniden test edilmesini artırmak için araştırmacı topluluğumuz ve müşterilerimizle birlikte çalışıyoruz.
Kopyalar sadece işletmeler için hayal kırıklığına neden olmakla kalmaz, aynı zamanda araştırmacılar bir başvuru açıklama yapmadan kopya olarak işaretlendiğinde eşit olarak cesaretini kırabilir.
Gönderilerin arkasındaki uygun açıklama veya akıl yürütme olmadan kopya olarak işaretlenmesi, araştırmacıların başka bir programa geçmesine neden olabilir. Adil olmak ve araştırmacılarla açıkça iletişim kurmak, uzun vadede programınız üzerinde olumlu bir etkiye sahip olacaktır.
En son DEPUPE AI modellerini kullanarak Intigriti, kapatılmış ve muhtemelen sabitlenmiş raporların gönderim çiftlerinin sayısını analiz etti. Fikir, kaç başvurunun kapatıldığını, ancak düzeltilmediğini veya güvenlik açığı tekrarladığını görmekti.
Bu, yeniden test etme potansiyelini açar.
Bir gönderim yeniden testi, başarıyla hafifletilip hafifletilip çözülmediğini belirlemek için daha önce bildirilen bir güvenlik açığını değerlendirme sürecini ifade eder. Yeniden test etme Intigriti’ye özgü değildir, ancak ekip, başvuruların ortalama% 3’ünün (ve bazı durumlarda% 8’inde) yeniden ortaya çıkan, pahalı olabilecek güvenlik açıkları üzerinde olduğunu gösteren bazı analizler yapmıştır.
Yeniden test bir garanti vermez, ancak güvenlik açıklarının tekrarlanmadığı bir güvenlik süreciniz olmasına yardımcı olur. Çünkü, sonuçta, bir şirket genelinde yapılan tüm sürümleri sürekli olarak izlemek gerçekten zor.
Şirketlerin hızla gelişmesi ve yenilik yapması ve rekabetçi kalması için yapılan baskılar nedeniyle güvenlik açıkları tekrarlanacaktır. Yeniden test etme, tekrar eden güvenlik açıklarının maliyetini azaltarak büyük ödül verimliliği sağlar, ilk hacker’a yeniden test için ek düşük çaba ödülleri sağlar ve güvenlik açıkları konusunda sürekli güvence sağlar.
Yeniden test etme tamamen araştırmacının takdirine bağlı olarak yürütülür ve genellikle bir düzeltmeyi vurgulandıktan sonra doğrulamak için küçük bir bonus sağlanır. Şu anda, tüm tekrar test taleplerinin neredeyse% 95’i tamamlanmıştır.
Yapay zeka teknolojisindeki gelişmelerle, hata ödül programları, müşterileri araştırırken tekrarlayan tekrar testleri açmaya yönlendiren güvenlik açıklarını işaretleyebilecektir.
Programınızdaki en iyi kaynak, tekrar tekrar geri dönen ve yeni, daha karmaşık sorunlar keşfeden iyi bir dizi sadık araştırmacıya sahip olmaktır.
Bir düzeltme dağıtırsanız, ancak yeniden test etmek için kapasiteye, uzmanlığa veya araçlara sahip değilseniz, Intigriti yardımcı olabilir. Güvenlik açığının hala tekrarlanabilir ve çözülebileceğini kontrol edecek araştırmacıdan bir tekrar test isteyin. Bunun hakkında daha fazla bilgi edinin.
Herhangi bir hata ödül sorusu için, ekibin bir üyesi ile konuşmak için Intigriti ile iletişime geçin.