来自 DDOS 2021-06-12 06:18 的文章

高防_服务器防护软件_秒解封

高防_服务器防护软件_秒解封

在RSA期间,Bugcrowd的创始人兼CTO Casey Ellis与CyberScope的Greg Otto坐在一起,讨论工作的未来以及bug奖励计划如何始终与渗透测试的发展有关。以下是一些亮点。你可以在网络独家新闻网.Bugcrowd一直在笔测试spaceGO:跟我谈谈众包笔试的策略。CE:Bugcrowd一直在笔试领域。我们所做工作的最初框架是围绕着众包的使用,白帽社区的使用,通过经济学和资源配置模型来改进笔试之类的事情。我们所做的是将漏洞披露程序和缺陷奖励计划作为一个独立的市场来发展这一块,但从中得到的教训实际上将其转化为更具咨询性的模式。在过去9个月左右的时间里,我们宣布下一代笔试确实是那个。彭测试是crowdsourcing CE的一个逻辑应用:在发布下一代Pen Test之前,bugcrough为此运行了私有的bug悬赏程序。我们从客户那里听到的是,他们需要一些商业用途的测试,而不仅仅是真正善于发现错误的能力。比如方法论,证明,ddos防御设备怎么部署,覆盖率报告,能够证明保证以及发现错误,当事情开始得到固定。笔测试是一个合乎逻辑的过程-众包的逻辑应用。这一直是游戏计划的一部分。你可以很好地理解人群可以做什么,非常善于将他们与尽可能多的安全问题空间联系起来,然后逐步增加。我们会有更多的,因为这是整个战略的一部分时间。那个漏洞披露的黄金法则:调整预期go:让我们谈谈漏洞披露,特别是研究人员和公司之间的关系。你站在一个有趣的立场上,因为你是中间人,当涉及到实际的众包臭虫奖励。当你和研究人员和公司在发现漏洞时如何相互交流时,你会和他们进行什么样的对话?首席执行官:金科玉律,怎么防御cc,以及我们努力帮助建立的,是积极建立合理的期望,并帮助保持两个小组的一致性,随着计划的变化。无论过程中突然出现什么,你都要遵守你所做的承诺,在你开始学习的过程中所做的承诺。这不仅仅是一个供应商的问题,实际上也是一个研究人员的问题好吧。那里是一种能力,可以利用揭露一个好的错误来促进笔试公司或组织,甚至个人。我认为在更大程度上,这实际上是一件好事。但是,如果这会导致研究人员提前披露或断章取义地炒作某个问题,而该企业认为,"不,这不是我们现在想出去解决的问题",那么突然之间,这种不匹配、不平衡,整个关系又变得对立起来。双方的教育又回到了中心:我们花了大量的精力试图让每个人都站在同一个页面上——黑客和公司历来都不善于互相交谈。我们在这方面取得了一些进展,这很好。我在这方面的目标是确保这一结盟继续向前发展,并且双方都将真正参加这个政党。我认为在过去的六年里,大多数公司实际上是在让公司加入进来,而不是把负责任的信息披露看作是一种道德负担,xdos和ddos防御,或者是他们可以施加给黑客社区的某种强制功能。意识到他们也有责任将这些信息视为重要和有用的,然后对此做出回应。现在,随着研究者群体的发展,以及研究速度的加快,双方的教育都重新回到了中间。你不能一下子吃掉整头大象:说到教育,你最近有一个关于训练的声明。告诉我们更多关于那个CE:我们要把人类的创造力运用到尽可能多的安全领域。我们所知道的是在开发周期结束时发现生产系统中的关键问题。但我们一直在做的部分工作,以及本次发布的一部分重点,是在这个过程中向左移动,以帮助开发、UAT和开发人员教育。我们'已经宣布与Secure Code Warrior合作。他们最酷的地方在于,他们让那些根本上很困难,ddos防御安全网易,有时甚至很无聊的事情——让工程师坐下来接受培训,阿里云高防cdn,真正理解如何更好地安全地编码——真的很有趣。他们用了很多设计思想,游戏化——所有这些我们在Bugcrowd上也做了很多的事情——能够最大限度地提高工程师通过这些东西并实际变得更好的可能性,而不是一开始就引入bug。整合的工作方式是让人们带着他们的观点、敌对的环境和反馈来指导培训的哪些部分与下一个组织最相关。你可以教一个工程团队。你不能一下子吃掉整头大象,所以先做最重要的事情才有意义。这就是我们在一起的地方。我对此很兴奋。