Sordun ve cevap verdik.
Intigriti’de, bir hata ödül programı olanların en sık sorulan sorularına dikkat ediyoruz. Bu nedenle, en sık sorulan soruları cevaplamaya, sıcak konulara dalmaya ve hata ödül başarınızı en üst düzeye çıkarmanıza yardımcı olacak pratik ve uzman destekli stratejileri paylaşmaya adanmış bu blog dizisini başlattık.
Bu dizide şimdiye kadar ‘Bir hata ödül programı ile halka açıldıktan sonra beklenebilecek model nedir?’ ve ‘Hata Bounty programımı test etmek için güvenlik araştırmacıları nasıl çekilir?’
Bugünün blogunda, hata ödül programınızdaki üçüncü taraf varlıklarının nasıl sorumlu bir şekilde kapsamına bakacağız.
Üçüncü taraf varlıklar, şirketinize tam olarak sahip olunmayan veya işletilmeyen herhangi bir yazılım, sistem veya hizmetleri ifade eder. SaaS araçlarını, CDN hizmetlerini, barındırılan alt alanları, kod kütüphaneleri ve entegrasyonları içerebilir.
Sadece yasal olarak hassas değil, operasyonel açıdan, giderek daha karmaşık olabilirler. Birçok üçüncü taraf hizmeti de dahil olmak üzere kontrol etmediğiniz varlıkları test etmek, hem kuruluşunuz hem de ilgili araştırmacılar için yasal komplikasyonlara yol açabilir.
‘Yetkisiz test kapsamında aktif test, test cihazını yasal risklere maruz bırakır.’ – Intigriti Triyaj Standartları
Varlıklar alan adınız altında markalı veya barındırılmış olsa bile, bunların değerlendirilmesi için sizin olduğu anlamına gelmez.
Üçüncü taraf öğeleri kapsam içine koymak isteyip istemediğinizi düşünün. Bir yandan, sistemlerindeki hataları sorumlu veya düzeltemezsiniz. Bu nedenle, raporları görüntülemenin ve potansiyel güvenlik açıklarına görünürlük kazanmanın yanı sıra, satıcıyı kendilerini düzeltmeye teşvik etmek dışında bu raporlarla yapabileceğiniz çok şey yoktur. Öte yandan, bilgi güçtür ve risk oluşturabilecek bir hatanın farkındaysanız, satıcıyı farkında hale getirebilirsiniz. Onlar üzerinde hareket edebilirler, olmayabilirler, ancak daha sonra tedarik zincirinde gördüğünüz potansiyel güvenlik açıklarına karşı korumak için kendi güvenliğinize ek adımlar atabilirsiniz.
Tabii ki, yukarıdakiler üçüncü taraf yazılımdaki güvenlik açıklarına gider; Güvenlik riskleri, bu yazılımdaki yanlış yapılandırmalardan da kaynaklanabilir. Bu üçüncü taraf yazılımı yönettiğiniz ve herhangi bir yanlış yapılandırmadan sorumlu olduğunuz durumlarda, bilgisayar korsanlarının bu varlıklara bakması elbette son derece değerlidir, çünkü bu yanlış yapılandırmalar, değişiklik yapmak için satıcıya güvenmek zorunda kalmadan çözebileceğiniz bir şeydir.
Artıları ve eksileri analiz ettikten sonra, üçüncü taraf bir varlığın test edilmesine izin vermek istediğinize karar verirseniz, üçüncü taraftan yazılı izin almanız gerekir ve satıcının kendi BB veya VDP’sine sahip olup olmadığını doğrulamanız gerekir.
Satıcı farkındalığı, şeffaflık ve işbirliği anahtardır.
‘Üçüncü taraf eklentileri, kütüphaneler, bağımlılıklar veya yazılımlardaki güvenlik açıkları her zaman program sahiplerine iletilecektir. Ödül uygunluğu satıcı farkındalığına bağlı olacaktır. ‘ – Intigriti Triyaj Standartları
Program politikanızda, hangi varlıkları belirtmek için açık bir bölüm oluşturun içinde Ve kapsam dışındave test etme izniniz olduğu üçüncü taraf varlıkların yanı sıra dış hizmetlere işaret eden sahip olunan tüm alt alanlar ekleyin.
Araştırmacılar için, kapsam dışı olarak listelenen unsurlarda veya işlevlerde bulunan güvenlik açıkları değerlendirme veya ödül için dikkate alınmaz.
Buna ek olarak, üçüncü taraf bileşenlerde bulunan güvenlik açıkları, genel sistem üzerindeki etkilerine göre değerlendirilecektir.
“Şiddet, üçüncü taraf bileşenin sistem için kritik olup olmadığını ve güvenlik açığının anlamlı bir şekilde kullanılamayacağını ele alacaktır. Üçüncü taraf bir bileşendeki bir araştırmacı tarafından bir güvenlik açığı bulunursa, bulucu, kullanıcılarına rapor vermeden önce savunmasız bileşenin sahibini veya satıcısını her zaman bilgilendirmelidir. ‘
SaaS veya PaaS dahil olmak üzere üçüncü taraf buluta sahip çözümlerde bulunan güvenlik açıkları, düzeltmenin uygulanmasından sorumlu tarafa rapor edilmelidir ve üçüncü taraf kapsamda açıkça belirtilmedikçe kapsam dışında değerlendirilecektir.
Intigriti Triyaj Standartları hakkında daha fazla bilgi edinin.
1. Herhangi bir üçüncü taraf varlıkları dahil etmeden önce her zaman satıcıdan izin alın.
2. Bir kapsamda ve herkes için açık olan kapsam dışı bir politika tanımlayın.
3. Varlık sınırlamalarını açıkça tanımlamak için etiketleri kullanın.
4. Üçüncü taraf kullanımını üç ayda bir inceleyin ve kapsamınızı değişiklikleri yansıtacak şekilde ayarlayın.
Bu makalede belirtilen noktalar hakkında daha fazla bilgi için, daha fazla tartışmak için bugün ekibe başvurun. Ve bir sonraki blogumuza dikkat edin, burada ekibimize yöneltilen başka bir popüler soruyu inceliyoruz!
Belirli bir konuyla ilgileniyor musunuz? [email protected] adresine e -posta göndererek cevap almak istediğiniz soruları bize gönderin.