Bug bounty

Bug Bounty پاداشی مالی است که سازمان‌های فن‌آوری به هر کسی که باگ‌های موجود در نرم‌افزارها یا سرویس‌های محاسباتی را کشف و گزارش کند پرداخت می‌کنند.

جایزه‌ای که به هکرهای اخلاقی برای یافتن و گزارش یک آسیب‌پذیری یا باگ به توسعه‌دهنده اپلیکیشن داده می‌شود. برنامه‌های باگ بانتی به‌عنوان برنامه‌های پاداش آسیب‌پذیری نیز شناخته می‌شوند.

امروزه بسیاری از شرکت‌های بزرگ فن‌آوری از جمله مایکروسافت، فیسبوک، گوگل و یاهو برنامه‌های باگ‌یابی دارند! این عمل از سال ۱۹۹۶ در Netscape آغاز شد؛ زمانی که مهندس Jarrett Ridlinghafer به هر کارمندی که بتواند باگ‌های کشف نشده را در مرورگر وب Netscape پیدا کند پاداش مالی می‌داد.

تا به امروز، بزرگ‌ترین جایزه باگ که به شخصی اعطا شده، در سال ۲۰۱۴ زمانی بود که Stéphane Chazelas، متخصص یونیکس، آسیب‌پذیری Shell Shock را در Bash Shell کشف کرد. برای کشف و افشای مسئولانه این باگ، سازمان Internetbugbounty.org جایزه ای ۲۰ هزار دلاری به Chazelas اهدا کرد.

چرا Bug bounty مهم است؟

از آن‌جا که برنامه Bug Bounty توافقی است که توسط بسیاری از وب‌سایت‌ها، سازمان‌ها و توسعه‌دهندگان نرم‌افزار ارائه می‌شود، افراد می‌توانند برای گزارش باگ‌ها، به‌ویژه آن‌هایی که مربوط به اکسپلویت‌ها و آسیب‌پذیری‌های امنیتی هستند پاداش مالی دریافت کنند.

این برنامه‌ها به توسعه‌دهندگان اجازه می‌دهند باگ‌ها را قبل از این‌که عموم مردم از آن‌ها آگاه شوند کشف و حل کنند و از بروز موارد سوءاستفاده گسترده و نقض داده‌ها جلوگیری کنند.

برنامه‌های Bug Bounty توسط تعداد زیادی از سازمان‌ها از جمله موزیلا، فیس‌بوک، یاهو!گوگل و یا Reddit S پشتیبانی می‌شود.