Programma Bug bounty

Un programma bug bounty è un accordo proposto da numerosi siti internet e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità. Questi programmi permettono agli sviluppatori di scoprire e risolvere tali bug prima che siano di dominio pubblico, prevenendo problematiche potenzialmente di vasto impatto. Diversi programmi di Bug bounty sono stati avviati, tra i quali quelli di Facebook,^[1] Yahoo!,^[2] Google,^[3] Reddit,^[4], Square^[5], Oracle Corporation^[6] e NordVPN^[7].

Durante l'ottobre del 2013, Google annunciò una significativa modifica al suo Programma di Ricompense per la Segnalazione di Vulnerabilità. Precedentemente consisteva in un programma bug bounty riguardante diversi prodotti Google. Con queste novità, tuttavia, il programma fu ampliato per includere una selezione di software libero, applicazioni e librerie ad alto rischio, principalmente quelli progettati per networking o funzionalità a basso livello di sistemi operativi. Le segnalazioni ritenute inerenti dalle linee guida di Google saranno potenzialmente idonee a essere ricompensate con cifre fra i $500 e i $3133.70.^[8]

Similmente, nel novembre 2013 Microsoft e Facebook si accordarono per sponsorizzare "The Internet Bug Bounty", un programma di ricompense per la segnalazione di exploit per un ampio numero di software legati ad Internet.^[9] Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server e Phabricator sono parte dei software inclusi in questo programma. Inoltre, il programma offriva ricompense per exploit relativi a sistemi operativi e browser, per coprire l'intero Internet.^[10]

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica