Intel paplašina programmu Bug Bounty pēc spektra, sabrukšanas trūkumiem



(Editor's Note: This move by Intel aims to expand their bug-bounty program to specifically include side-channel attacks, such as those that can be leverage on the Spectre and Meltdown exploits. The company is also increasing the rewards it will give the researchers who find new flaws, a move that aims to employ the masses' knowledge and ingenuity to try and reach the hard-earned bonus at the end of the vulnerability - all while saving Intel much more money than it's paying to bug hunters.)

Uzņēmumā Intel mēs uzskatām, ka sadarbība ar drošības pētniekiem ir būtiska mūsu produktu potenciālo drošības problēmu identificēšanas un mazināšanas sastāvdaļa. Līdzīgi kā citi uzņēmumi, viens no veidiem, kā mēs šo operētājsistēmas modeli esam padarījuši, ir bug bounty programma. Programma Intel Bug Bounty tika uzsākta 2017. gada martā, lai stimulētu drošības pētniekus sadarboties ar mums, lai atrastu un ziņotu par iespējamām ievainojamībām. Tas, savukārt, palīdz mums stiprināt mūsu produktu drošību, vienlaikus nodrošinot atbildīgu un koordinētu izpaušanas procesu. Koordinēta izpaušana tiek plaši uzskatīta par labāko veidu, kā atbildīgi pasargāt klientus no drošības izmantošanas. Tas samazina risku, ka izmantojamā informācija kļūst publiski zināma, pirms ir pieejami mazināšanas pasākumi. Cieši sadarbojoties ar nozares partneriem un klientiem, mēs aicinām uz atbildīgu un koordinētu informācijas izpaušanu, lai palielinātu iespēju, ka lietotājiem būs pieejami risinājumi, kad drošības problēmas tiks publicētas pirmo reizi. Mūsu programma Bug Bounty atbalsta šo mērķi, izveidojot procesu, kurā drošības pētniecības kopiena var mūs tieši un savlaicīgi informēt par potenciālajiem ieguvumiem, ko atklāj tās dalībnieki.

Atbalstot mūsu neseno drošības pirmo solījumu, mēs esam veikuši vairākus mūsu programmas atjauninājumus. Mēs uzskatām, ka šīs izmaiņas ļaus mums plašāk iesaistīt drošības pētījumu kopienu un sniegs labākus stimulus koordinētai reakcijai un izpaušanai, kas palīdz aizsargāt mūsu klientus un viņu datus.

Mūsu programmas atjauninājumi ietver:
  • Pāreja no tikai ielūguma programmas uz programmu, kurā var piedalīties visi drošības pētnieki, ievērojami paplašinot piemēroto pētnieku loku.
  • Piedāvājot jaunu programmu, kas īpaši vērsta uz sānu kanālu ievainojamībām, līdz 2018. gada 31. decembrim. Balva par informācijas atklāšanu saskaņā ar šo programmu ir līdz USD 250 000.
  • Apbalvojumu palielināšana visur, ar balvām līdz 100 000 USD citām jomām.

Source: Intel Newsroom