Июл
05

Сбой субсидий ошибки для нахождения многих дефектов программного обеспечения говорят исследователи

сбой

Тогда как давание призов исследователям уязвимости для нахождения недостатков в программном обеспечении трудится первоначально, для зрелого ПО нужен второй подход, согласно команде отвлечённых и промышленных исследователей.Изучение проводилось политическими исследователями и экономикой в Массачусетском технологическом университете, Гарвардском университете, Facebook и поставщике одолжений управления уязвимости HackerOne.Анализ рынка для продажи и покупки ранее малоизвестных недостатков ПО, известных как уязвимости нулевого дня, предполагает, что платеж исследователям для частного раскрытия неточностей безопасности разработчику трудится лучше всего для истощения пула легко находимых недостатков.После многих лет дебатов компании и исследователи-разработчики ПО достигли цифровой разрядки, известной как координируемое раскрытие, где исследователи дают поставщикам ПО разумный шанс фиксировать недостаток и работу компаний-разработчиков ПО с исследователями добросовестно для устранения неприятности.

Исследователи в области безопасности, разработчики и хакеры ПО обсудили надлежащий метод раскрыть недостатки — и улучшить безопасность ПО — больше двух десятилетий. Тогда как раскрытие недостатков смутило довольно много компаний-разработчиков ПО и побудило их относиться к безопасности ПО больше без шуток, предавание гласности уязвимостей может также привести к нарушениям и вредить клиентам.

Moussouris трудился с Майклом Зигелем и Джеймсом Хаутоном в Школе Слоана MIT и Райаном Эллисом в Гарварде Школа Кеннеди Политики. Коллин Грин в Facebook, что спонсировал изучение, обеспечил ввод и дополнительное исследование в моделирование.Применяя вознаграждения и субсидии ошибки за защитный инструмент изучение устранит многие главные дыры в совокупности безопасности, которые разрешают преступные нападения.

Но наступательные упрочнения групп с достатком — таким как национальные программы аналитики — останутся незатронутыми, согласно данным Moussouris. Исследователи, создающие годные для применения уязвимости на том уровне, менее возможно, будут применять инструменты массового рынка и более возможно применять их всестороннее знание целевых совокупностей, сообщила она.

Исследователи нашли, что платеж экспертов по безопасности, ли с престижностью либо наличными средствами, вправду трудится, но сначала находя и удаляя из уязвимости объединяют низко висящий плод безопасности ПО — легко находимые неточности.При помощи типа анализа, известного как системное моделирование динамики, исследователи изучили программы стимулирования для каждого из людей либо участвующих сторон в разработке ПО и процессах смягчения уязвимости.

«Программы стимулирования могут быть чем-либо даже работы и распознавание подтверждения для некоторых», сообщила Кейти Муссурис, основной политический служащий для HackerOne, eWEEK. «Существует все больше шансов для людей получить деньги. Но одни лишь субсидии неточности не являются более действенным методом истощить наступательный пул».

Исследователи нашли, что «довольно много глаз» теория, поддержанная защитниками с открытым исходным кодом лишь, могут устранить столько неточностей. После точки автоматизированная неточность, ищущая защитные разработкой инструменты — нужна для действенного нахождения недостатков.Но платеж экспертам по безопасности для инструментов для нахождения классов уязвимостей оказал больше большое влияние на безопасность ПО в модели.

По существу, вместо того, чтобы брать плод работ исследователей, защитники должны оплатить за инструменты, применяемые для сбора урожая фруктов пословиц.«Большая часть наступательных средств поиска не применяет довольно много инструментов в их работе», сообщил Муссурис. «У них имеется ловкость для нахождения уязвимостей, которые не основаны на инструменте, но защитники надеются на инструменты».


8 Комментов

Оставить коммент