تدوین سیاست انتشار آسیب‌پذیری از سوی پنتاگون

۹وزارت دفاع آمریکا روز دوشنبه اعلام کرد سیاستی را برای انتشار آسیب‌پذیری‌ها تدوین کرده است. در این بیانیه آمده است هدف از این سیاست‌نامه راهنمایی محققان در چگونگی انتشار رخنه‌های امنیتی است که در وبگاه‌های مختلف این سازمان کشف می‌کنند.

این سیاست انتشار آسیب‌پذیری شامل هیچ‌گونه پاداشی نمی‌شود، بلکه روشی را برای گزارش اشکال‌های امنیتی ارائه می‌دهد که پنتاگون امیدوار است متخصصان امنیتی را در تقویت قوای دفاعی تشویق کند.

نفوذگرانی که موفق شوند آسیب‌پذیری‌هایی را در وبگاه‌های مرتبط با وزارت دفاع، به‌خصوص defence.gov و دامنه‌های mil. کشف کنند، می‌توانند گزارشی را از طریق HachekOne ثبت کنند. این سازمان قول داده است ظرف مدت ۳ روز کاری گزارش‌ها را بررسی و نتیجه را اعلام کند.

وزیر دفاع آمریکا می‌گوید: «این سیاست انتشار آسیب‌پذیری در راستای شعار همکاری مردم با دولت این‌بار در حوزه دیجیتال است. ما می‌خواهیم متخصصان امنیت رایانه را تشویق کنیم تا به ما در قوای دفاعی کمک کنند. سیاست جدید به آن‌ها کمک می‌کند تا از راهی قانونی به امنیت ملی یاری رسانند.»

وزارت دفاع آمریکا می‌گوید پس از اجرای موفقیت‌آمیز برنامه «نفوذ به پنتاگون»، تصمیم دارد طی یک قرارداد ۷ میلیون دلاری با HackerOne‌ و Synack به آن‌ها کمک کند تا برنامه‌های کشف آسیب‌پذیری مشابهی را برگزار کنند. ثبت‌نام در برنامه نفوذ به ارتش که پیش‌تر در ماه جاری اعلام شده بود از روز دوشنبه آغاز شده است. انتظار می‌رود ۵۰۰ نفوذگر کلاه‌ سفید در این مسابقه شرکت کرده و هزاران دلار جایزه را از آن خود کنند.

ثبت‌نام در این مسابقه تا ۲۸ نوامبر ادامه داشته و برنامه از ۳۰ نوامبر به مدت ۲۲ روز تا ۲۱ دسامبر برگزار خواهد شد. وزارت دفاع می‌گوید افراد عادی باید شرایط خاصی داشته باشند تا بتوانند در این برنامه شرکت کنند، از جمله اینکه از نظر قانونی مشکلی برای کار در آمریکا نداشته و هم‌چنین در کشوری که مورد تحریم است ساکن نباشند.

بیش از ۱۴۰۰ نفوذگر در برنامه نفوذ به پنتاگون که در بهار سال جاری برگزار شد شرکت کردند. بیش از ۲۵۰ نفر از این شرکت‌کنندگان حداقل یک آسیب‌پذیری را گزارش کردند. در میان اشکال‌های امنیتی ثبت شده ۱۱۸ نمونه حائر شرایط مسابقه بودند. هزینه برگزاری این مسابقه بالغ بر ۱۵۰ هزار دلار بوده که نیمی از آن به پاداش‌های نفوذگران اختصاص داشته است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter