梭鱼网络研究科学家丹尼尔·派克预览他BSidesSF谈论公司学到了什么在头90天的Bug赏金计划。已经有疙瘩。
这是大约90天以来梭鱼网络成为最新公司推出一个bug赏金计划,也有疙瘩。
研究科学家丹尼尔·派克公司将解释如何事情并不总是如预期的那样在BSidesSF下周讨论“运行错误的经验教训赏金计划。”Though not a failure by any stretch, Peck told CSO there have been glitches Barracuda needed to learn from. He'll outline some of the improvements designed to make the program more successful.
自11月初以来,梭鱼实验室拉客及奖励安全研究人员寻找漏洞在梭鱼安全设备。这不是第一次错误赏金计划。谷歌有一个自己的项目,和上个月支付一个bug猎人创纪录的3133美元在Chrome报告一个错误。
第一个观察梭鱼的流数据比预期更轻,派克说。
“我们没看到的错误预期,我们并不是完全确定这是为什么,”派克说,他指出,总共15个独立的电子邮件提交覆盖32个bug在第一个90天。“我们预期更多种类的bug,但我们所看到的完全web应用程序错误”。
缺乏多样性的原因之一可能是缺乏梭鱼技术,他说。作为补救措施,该公司计划建立一个黑客今年实验室。研究人员将获得梭鱼产品在预定时间块进行测试。
另一个教训是,黑客往往按自己的规则和时间表,派克说。因此,一些提交必须扔掉不坚持梭鱼指南。“黑客并不出名的方向后,有些什么不在范围,”派克说。“我们应该准备得更好。”
同时,内部沟通的赏金计划有些动荡,派克说。虽然从所有部门的支持在发射之前,预期将在一些涉及到不同的部门。
“我们知道你必须确保每个人内部。我们推出了这个快速和有支持,但一些问题没有解决开发人员和QA一侧;没有足够的解释程序是什么,他们如何能从中受益。在开发人员中有一些恐惧开放这个东西。”
记住这一切,派克说,会谈论什么梭鱼了解了它的局限性,包括技巧与程序人员可以有更大的成功。
阅读更多关于应用程序的安全CSOonline应用程序安全性的部分。
这个故事,“梭鱼网络:Bug赏金计划没有疙瘩”最初发表的方案 。