Yazılım devi, hizmetlerinde açık bulanlara para dağıtmak yerine, bakın ne dağıtıyor...



Levent Öztürk
Adobe, para yerine "bravo" hediye eden bir hata bulma programını başlatmış durumda. Web uygulama korumasızlığı duyurma programı, Twitter, Yahoo! ve CloudFlare gibi firmalar tarafından da kullanılan HackerOne aracılığı ile çalışmakta.
Adobe'nin programı, online hizmetlerinde bulunan yaygın sorunları aramayı amaçlıyor. Bu sorunların arasında ise cross-site scripting, öncelikli cross-site istek sahteciliği, server-side kod çalıştırılması, onaylama veya yetki verme sorunları, injection açıkları ve belirgin güvenlik ayarı sorunları bulunmakta.
Adobe'nin güvenlik programı yöneticisi Pieters Ockers, yeni program ile beraber hata arayıcılarının bir Adobe internet hizmetinde bulunan açıklıkları gizli bir şekilde Adobe'ye duyurarak "HackerOne şöhret skorlarını" arttırabileceklerini söylemekte.
Ockers'in söylediğine göre hacker'ların bir açığı bildiren ilk kişi olmaları ve bu açığı kamuya duyurmadan önce sorunun çözülmesi için Adobe'ye "mantıklı" bir süre sunmaları gerekmekte. Şifre yenileme bağlantılarındaki sorunlar, eksik http güvenlik başlıkları, hassas olmayan çerezlerdeki eksik çerez bildirimi gibi bazı ufak sorunlar ise, bu programın içerisinde yer almıyor.
BugCrowd mühendisi Drew Sing'in söylediğine göre, verilebilen ödüller arasındaki en iyi seçenek para ödülü. Sing, Temmuz ayında yayınlanan yazıda, araştırmacıların düzenli ve derin bir araştırma yapmalarını sağlamak için en iyi teşvik edici ödülün para olduğunu söylemekte. Ayrıca, yüksek öncelikli bir güvenlik sorununun düzgün incelenmemesi durumunda organizasyonun itibarının da hasar alabileceğini belirterek bu gelişim evresinde IT ve iletişim takımlarının programın başarısı için çok önemli olduğunu söylemekte. Ama Adobe'nin para ödülü yerine "ün" dağıtıyor olması, tatrışılmaya açık bir konu...

__________________