软件可能是人类创造的最复杂的工具。 虽然一个人仍然有可能理解汽车或电话的所有功能部件,但任何人都不太可能完全掌握使软件工作所需的所有概念。
软件可能包含无穷无尽的概念,例如密码学、无线传输背后的物理原理以及计算机芯片和存储磁盘的功能。 简而言之,它使一切正常。
[Keep up with the latest in technology and security. Sign up for the ExpressVPN blog newsletter.]
由于其难以理解的复杂性,所有软件都可能包含错误。 大多数错误都是良性的,不会被用户和管理员注意到,但有些是令人讨厌的,可能会导致程序出现意外行为或应用程序崩溃。
罕见的错误可能会导致严重的副作用,并可能无意中引入安全漏洞。 这些漏洞可以从根本上改变产品的安全和隐私承诺。 在最坏的情况下,他们可以访问他们不应该拥有的数据和信息,或者生成不应该存在的数据。
阅读更多: 自动应用更新:优点和缺点,以及如何打开它们
限制潜在的漏洞
有多种方法可以限制此类漏洞的存在。
1. 流程简化
过程越简单,就越容易理解整个产品。 为了减少潜在漏洞的数量,它有助于保持结构简单易懂。
2. 最佳实践和对技术的深刻理解
每种编程语言和平台都有自己的怪癖。 当开发人员不完全了解他们正在使用的工具的功能时,这些特性就会引入漏洞。
3. 代码的内部和外部审计
有时,一双新的眼睛可以发现别人看不到的东西。 通过内部和外部审计,专家可以查看软件代码以确保没有错误。
软件测试的一个重要部分是查看每个组件,而不仅仅是成品。 每个 API 点和函数都需要单独测试,以确认整数确实是整数,并且该输入在它应该是的时候被散列。
4. 漏洞赏金
即使采取了上述预防措施,错误仍然可以使其成为成品并落入用户手中。 漏洞赏金通常是针对可能降低用户体验或导致可能伤害用户的漏洞的问题的最后一道防线。
一个好的漏洞赏金会向独立研究人员支付他们发现的漏洞和漏洞。 通常对漏洞的种类进行排名并分配唯一的价格标签。 价格越高,黑客发现问题的动力就越大。
向漏洞猎手支付公平的补偿可确保漏洞最终不会在暗网上出售。 相反,开发人员很快就会意识到它们并堵住漏洞。
漏洞赏金有严格的规则,定义了黑客可以四处寻找的地方,以及哪些区域是禁忌。 他们还定义了如何披露漏洞的条款,以及公司在向公众发布之前允许自己解决问题的时间。
Bug Bounties 将表彰那些做出贡献的人。 由于一些国家可能制定了严厉的反黑客法律,甚至禁止轻微的白帽黑客行为,因此实施漏洞赏金计划的公司通常会承诺“安全港”,例如由 披露.io.
漏洞赏金让用户更安全
软件不会仅仅通过漏洞赏金计划成为好软件。 但是,不太复杂、遵循最佳实践并定期审核的优秀软件可以通过漏洞赏金计划成为优秀的软件。
漏洞赏金计划为那些有兴趣发现漏洞的人提供了经济激励,同时还确保发现的漏洞不会最终出现在暗网市场上。
学习关于 ExpressVPN的漏洞赏金计划 以及我们围绕 TrustedServer 系统的一次性 100,000 美元奖金。
