Bug bounty -ohjelmassa asiakkaan palvelut julkaistaan hakkereille tutkittavaksi. Hakkereille maksetaan palkkioita löydettyjen havaintojen vakavuuden perusteella. Ilmoitettujen havaintojen oikeellisuus varmennetaan ja vakavuus arvioidaan ennen palkkioiden maksamista.
Bug bounty -palvelussamme asiakkaan tarvitsee huolehtia vain palveluiden määrittämisestä, koska ohjelman pyörittäminen on kokonaan ulkoistettu meille.
Palvelumme sisältää seuraavaa:
- Ohjelman sääntöjen luominen asiakkaiden tarpeiden mukaisesti
- Ohjelman alustan valinta
- Hakkerien kutsuminen ohjelmaan
- Havaintojen varmentaminen
- Duplikaattihavaintojen tarkistaminen
- Palkkioiden maksusuoritukset hakkereille
- Status-palaverit ohjelman edistymisen seuraamiseksi
Bug bounty -ohjelma täydentää hyvin perinteistä tietoturvatestausta erilaisen luonteensa takia. Hakkereilla on enemmän aikaa käytettävissään, kun kyse ei ole aikataulutetusta projektista ja hakkereita on enemmän tutkimassa palvelua. Ohjelmiin myös julkaistaan yleensä tuotantoympäristöt, kun taas tietoturvatestaus tehdään yleensä testiympäristöissä. Ohjelmiin voidaan myös vapaasti valita halutut palvelut yhdessä asiakkaan kanssa.
Bug bounty -ohjelman ulkoistaminen tarkoittaa yritykselle tai organisaatiolle helppoa ratkaisua täydentämään ja tukemaan kokonaisvaltaista testausstrategiaa ja sovelluskehitysprosessia.