A Bugcrowd elkészített egy általános keretrendszert, ami segíthet a cégeknek a biztonsági réseket felfedezőket jutalmazó programok bevezetésében és szabályozásában – írta a Biztonságportál.

Mint azzal a Bitport többször is foglalkozott, egyre több nagy cég vezet be valamilyen jutalmazási programot azoknak az önkéntes kutatóknak, akik idejüket biztonsági rések keresésére fordítják (a módszer előnyeiről többe között itt írtunk részeltesebben). Többek között a Google, a Facebook, a PayPal, a Mozilla és a Microsoft is indított már ilyen programot.

Ezek a cégek pontosan szabályozzák, hogy a feltárt sérülékenységeket hogyan kell bejelenteni, és a veszélyesség függvényében mekkora összegű jutalom jár az információkért. Mivel azonban időről időre felmerülnek jogi és egyéb problémák a programok körül, a Bugcrowd gondolt egy merészet, és általános keretrendszert dolgozott ki ezeknek a programoknak a segítésére. Ez a Open Source Responsible Disclosure Framework (OSRDF).

A keretrendszer nem csak a technikai részletekre tér ki. A jogi hátteret a CipherLaw ügyvédi iroda adta, amely kifejezetten információbiztonsági kérdésekre szakosodott. A CipherLaw feladata volt például annak a meghatározása, hogy a biztonsági rések keresése során meddig mehet el egy kutató vagy etikus hacker, és mi az, amit még jogszerűen megtehet. Azaz egyfajta jogi mankót nyújt a kutatóknak – mondta Jim Denaro, a CipherLaw szakértője.

A keretrendszer bevezetése azok a cégeknek is hasznos lehet, melyeknél már működik jutalmazási program: ha másban nem, akkor a jogi környzet pontosításában, illetve abban, hogy hatékonyabb kapcsolatot építhessenek ki a biztonsági kutatók közösségével.

A keretrendszer szabadon letölthető és használható.