OnePlus Security Response Center er virksomhedens bug-bounty-program for dem, der er interesserede i at blive betalt for at finde sikkerhedssårbarheder.
Cybersikkerhed er vigtigere end nogensinde, når vi går ind i et nyt årti, der med sikkerhed igen vil radikalt ændre teknologien, som vi kender den. Og uanset hvor stort dit udviklerteam er, eller hvor grundigt du tester din software, formår nogle kritiske sårbarheder og fejl stadig at krydse dammen til stabil software meget af tiden. Det er grunden til, at flere virksomheder, herunder Samsung, Google, og Huawei, har bug bounty-programmer, der giver sikkerhedsforskere mulighed for at prøve virksomhedens software og gå derfra med en meget generøs mængde kontanter, hvis det lykkes dem at finde en kritisk udnyttelse. OnePlus slutter sig nu til denne liste over virksomheder, da de lovet tidligere i år.
OnePlus har afsløret sit eget bug bounty-program, som de kalder OnePlus Security Response Center, eller forkortet OneSCR. Præmissen er enkel: Hvis du (korrekt) finder en sårbarhed, kan du få penge til gengæld for (korrekt) at rapportere den. Åbningen af dette program kommer næsten to år efter virksomheden
Dette bug bounty-program er dog en smule anderledes sammenlignet med ækvivalenter fra andre virksomheder, og det er på grund af udbetalingsbeløb. Mens andre virksomheder er villige til at tilbyde flere hundrede tusinde dollars for en meget kritisk sikkerhedssårbarhed, OnePlus tilbyder op til $7.000 for, hvad den anser for at være de mest kritiske trusler, mens mindre fejl vil gå så lavt som $50-$100. Det Side for indsendelsespolitik præciserer OnePlus' holdning til ansvarlig/koordineret offentliggørelse, kontointeraktion, forbudte angrebsmetoder, ikke-støtteberettigede problemer og endelig betalingerne.
Her er listen over belønningsniveauer:
- Særlige tilfælde: op til $7.000
- Kritisk: $750 - $1.500
- Høj: $250 - $750
- Medium: $100 - $250
- Lav: $50 - $100
Mens $7.000 er en anstændig sum for nogle mennesker, er det meget langt fra, hvad andre virksomheder tilbyder. Med et firma af OnePlus' størrelse og omfang - de er vokset meget større, siden de lancerede OnePlus One for 5 år tilbage - ville du forvente, at udbetalingerne for sådan et program bare er en smule mere generøse. Ikke desto mindre håber vi, at programmet vil være med til at forbedre sikkerheden for OnePlus-produkter. Du kan indsende fejlrapporter her.
OnePlus siger også, at de vil samarbejde med HackerOne, en hackerdrevet bug bounty-platform, for at lancere en pilotprogram i 2020, der inviterer udvalgte sikkerhedsforskere til at teste deres systemer mod potentiale trusler.
Kilde: OnePlus