Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Drupal lancia un programma per il Bug Hunting

Link copiato negli appunti

Prendendo esempio da iniziative simili nel settore del content management, si pensi per esempio a WordPress che dedica appositi eventi al Bug Hunting, e in vista del rilascio di Drupal 8 attualmente ancora in fase di betatest, i responsabili del progetto hanno deciso di lanciare il proprio Security bug bounty program; nello specifico i contributors potranno ricevere riconoscimenti in denaro come premio per la loro attività di security fixing.

L'idea alla base del programma nasce dalla considerazione che l'ultima versione del noto CMS Open Source apporta numerosi cambiamenti all'applicazione, sia in termini di funzionalità che dal punto di vista architetturale; data questa caratteristica l'individuazione delle vulnerabilità potrebbe risultare più complessa che in passato e scontrarsi con l'esigenza di garantire un livello di sicurezza equiparabile a quello delle release precedenti.

Come è noto, a differenza di altri progetti simili che prevedono delle scadenze programmate per i rilasci, Drupal viene messo a disposizione in versione definitiva soltanto quando "pronto" (un po' come succede per Debian in tema di distribuzioni Linux); ciò però non significa che l'attesa di una nuova major release debba protrarsi per periodi esageratamente lunghi, da qui l'esigenza di dare mandato ai "cacciatori di taglie" per accelerare i tempi.

Il Security bug bounty program, aperto a tutti, si concluderà il 31 agosto 2015, ma il team di Drupal non esclude possibili rinvii di questa scadenza; gli interessati potranno installare in locale una copia di Drupal 8 tramite Git, mettersi alla ricerca di problematiche di sicurezza legate a cross-site scripting, cross-site request forgery, SQL Injection, violazione dei sistemi per l'autenticazione e, se scovate, segnalarle al Drupal Security Team.

I premi vanno da 50 a mille dollari a seconda della gravità della vulnerabilità individuata, ogni segnalazione dovrà essere corredata da un report recante una descrizione dettagliata del bug scoperto e della procedura necessaria per riprodurne gli effetti. La qualità e la completezza del report influirà sull'entità del riconoscimento ricevuto.

Via BugCrowd

Ti consigliamo anche