Bug Bounty Nedir?
Bug Bounty, yazılımdaki güvenlik açığını tespit etmenin ödülü olarak tanımlanır. Genellikle kripto para endüstrisinde rastlanan bir durumdur. Hata ödülleri, güvenlik açıklarının kötü niyetli kişiler onları bulmadan önce keşfedilmesi ve uygulama sahibine bildirilmesi umuduyla sunulur. Kripto para dünyasında hata ödülleri genellikle protokoller, borsalar ve cüzdan operatörleri gibi kripto para şirketleri tarafından uygulamaya konulmaktadır.
Hata ödül programları, bilgisayar korsanları arasında bir rekabet olarak görülebilir. Ödül programları halka açıktır ve hata ödülleri sunan şirketler, kötü niyetli şahıslar onları bozmadan önce belirlenen güvenlik açıklarını düzeltebilir. Hata ödülleri genellikle şirketler tarafından bulunan güvenlik açığı derecesine göre değerlendirilir. HackerOne'a göre, 2018'de yaklaşık 900.000 dolarlık hata ödülü ödendi. Bireysel ödüller çok küçük olabilir. Şirketler genellikle küçük açık tespitleri için yaklaşık 100 ABD doları tutarında ödül öderler. Ancak ödüller 10.000 ABD doları veya daha fazla olabilir. Yüksek tutardaki ödüller kritik güvenlik açıkları için geçerlidir.
Bilgisayar korsanlarından bazıları güvenlik açıklarını keşfetmek karşılığında önemli miktarda para kazanıyor. Hollandalı bir araştırmacı olan Guido Vranken, bir haftada 12 hata keşfetti ve EOS'tan 120.000 dolar aldı. Elbette bu işlemler için uzman olmanız gerekiyor. Pek çok yazılım ve programlama diline hâkim olmalısınız. Yazılım sahiplerine göre hata ödülleri, diğer önlemlerin yanında kullanılan bir güvenlik biçimi olarak kabul edilir. Geliştiricilere göre ana öncelik, güvenli kod oluşturmak ve güvenlik açıklarını en aza indirmektir. Çalışkan geliştiricilerin bile hataları gözden kaçırması muhtemeldir ve bazıları ciddi güvenlik riskleri oluşturabilir. Bu nedenle, hata ödülleri, yazılım sahiplerini ve kullanıcıları kötü niyetli aktörlerden koruyan önemli bir ikinci savunma hattı görevi görür. Peki, neden şirketler bu açıkları kendi tespit etmiyor? Bunun en büyük sebebi fark edememek ve yeterli düzeyde yazılım ekibine sahip olmamaktır.