Video: Hindi Makapaniwala ang mga Experto sa Natuklasan ng Batang Ito (Nobyembre 2024)
Ilang araw na ang nakalilipas, iniulat ng mga mananaliksik mula sa Swiss security firm na High-Tech Bridge ang isang simpleng eksperimento. Ginugol nila ang isang araw na pinagsasama ang mga website ng Yahoo para sa mga bug, natagpuan ang tatlong mga seryoso, at isinumite ang mga ito sa Yahoo, para sa layunin ng pagsusuri ng programa ng bug na halaga ng kumpanya. Ang kanilang gantimpala? $ 12.50 bawat bug, maaaring matubos lamang sa tindahan ng kumpanya ng Yahoo. Marahil nahihiya sa atensyon na naglalayong sa napakagandang maliit na gantimpala, itinaas ng Yahoo ang malaking halaga ng bug. Depende sa kalubhaan ng naiulat na problema, ang mga mananaliksik ay makakatanggap na ngayon mula sa $ 150 hanggang $ 15, 000 para sa isang ulat. At oo, nasa cash, hindi t-shirt.
Isang Personal na Salamat
Sa isang post ng folksy blog ni Ramses Martinez, na kinilala bilang "Direktor, Yahoo Paranoids, " ipinaliwanag ang kasaysayan ng program ng bug na pag-ibig, at ang bagong direksyon. "Nagsimula akong magpadala ng t-shirt bilang isang personal na 'salamat, '" sabi ni Martinez. "Binili ko pa ang mga kamiseta gamit ang sarili kong pera." Nang maglaon, dahil ang ilang mga nagsumite ay nakatanggap na ng t-shirt, "Nagsimula akong bumili ng isang sertipiko ng regalo upang makakuha sila ng isa pang regalo na kanilang pinili."
Ang tala ni Martinez na ang pangunahing bagay na kailangan ng maraming mananaliksik kapalit ng pag-uulat ng isang bug ay "isang liham na maipakita nila sa kanilang boss o kliyente." Ang mga t-shirt at sertipiko ng regalo ay personal na pasasalamat lamang sa itaas. Tulad ng para sa aktwal na patunay, "Isusulat ko ang aking mga liham sa aking sarili."
Bagong Patakaran sa Pag-uulat
Ang post ni Per Martinez, napatunayan na ng Yahoo na ang patakaran ng pag-asang ng bug ay kailangan ng isang pag-upgrade. "Inilalagay ng security team ang mga financing touch sa binagong programa, " aniya. "Sa halip na maghintay pa, napagpasyahan naming i-preview ang aming bagong patakaran sa pag-uulat ng kahinaan nang maaga."
Maaari mong basahin ang buong detalye sa post ni Martinez. Ang streamline ng Yahoo ay mag-streamline sa proseso ng pag-uulat, magtrabaho upang mapatunayan ang mga ulat sa lalong madaling panahon, at magtrabaho nang mas mahirap upang matugunan ang mga problema sa isang napapanahong paraan. Ang mga nag-uulat ng na-verify na mga bug ay makikipag-ugnay sa "hindi hihigit sa labing-apat na araw pagkatapos ng pagsusumite (ngunit karaniwang mas mabilis)" at makakatanggap ng pormal na pagkilala mula sa Yahoo. "Para sa pinakamahusay na naiulat na mga isyu, direkta kaming tatawag mula sa aming site ng kontribusyon ng isang indibidwal sa isang 'bulwagan ng katanyagan.'"
Gayundin, wala nang mga t-shirt o swag bilang mga gantimpala. "Gantimpalaan ngayon ng Yahoo ang mga indibidwal at mga kumpanya na nagpapakilala sa kung ano ang naiuri namin bilang bago, natatangi at / o mga isyu sa mataas na peligro sa pagitan ng $ 150 - $ 15, 000." Kung tungkol sa laki ng kabaitan, iyon ay "matutukoy ng isang malinaw na sistema batay sa isang hanay ng mga tinukoy na elemento na kumukuha ng kalubhaan ng isyu." Ang patakarang ito ay magkakabisa sa pagtatapos ng Oktubre at magiging retroactive hanggang Hulyo 1, 2013. "Kabilang dito, siyempre, isang tseke para sa mga mananaliksik sa High-Tech Bridge na hindi nagustuhan ang aking t-shirt, " pinawi ni Martinez .
Isang Walang-limitasyong Pagpapabuti
"Hindi namin ginagawa ang aming pananaliksik para sa pera, tulad ng malinaw naming sinabi sa Yahoo habang iniuulat ang mga kahinaan, " nabanggit ng High-Tech Bridge CEO Ilia Kolochenko. "Gayunpaman, nasisiyahan kami na ang Yahoo ay nagpapakilala ngayon ng mga bagong Program ng Bounty ng Bug na mapabilis ang kanilang relasyon sa mga mananaliksik ng seguridad at makakatulong sa pagpapabuti ng kanilang seguridad sa korporasyon. Tiyak na magandang balita."
Ang katotohanan ay nananatiling, gayunpaman, na ang iba pang mga pangunahing manlalaro ay nagbabayad ng higit na mas malaking bounties ng bug. Ang Microsoft ay gaganapin sa loob ng mahabang panahon, ngunit mas maaga sa taong ito ay nagtatag ng isang malaking halaga ng hanggang sa $ 100, 000. Ang Facebook ay nagbabayad ng higit sa isang milyong dolyar sa mga bounties ng bug, at ang Google ay naiulat na nagbabayad ng higit sa dalawang milyon. Sa flip side, ang gantimpala ng Apple sa mga nakakahanap ng mga makabuluhang bug ay katanyagan, wala nang iba pa. Ang bagong plano ng Yahoo ay nahuhulog sa isang lugar sa gitna; makikita natin kung paano ito gumagana para sa kanila.
