OnePlus Security Response Center är företagets bug-bounty-program för dem som är intresserade av att få betalt för att hitta säkerhetsbrister.
Cybersäkerhet är viktigare än någonsin när vi går in i ett nytt decennium som säkerligen, återigen, kommer att radikalt förändra tekniken som vi känner den. Och oavsett hur stort ditt utvecklarteam är eller hur noggrant du testar din mjukvara, lyckas vissa kritiska sårbarheter och buggar fortfarande ta sig över dammen till stabil programvara en stor del av tiden. Det är därför flera företag, inklusive Samsung, Google, och Huawei, har bug-bounty-program som gör att säkerhetsforskare kan prova företagets programvara och gå därifrån med en mycket generös summa pengar om de lyckas hitta någon kritisk exploatering. OnePlus ansluter sig nu till denna lista över företag, eftersom de utlovat tidigare i år.
OnePlus har avslöjat sitt eget bug-bounty-program, som de kallar OnePlus Security Response Center, eller förkortat OneSCR. Utgångspunkten är enkel: Om du (på rätt sätt) hittar en sårbarhet kan du få pengar i utbyte mot att (på rätt sätt) rapportera den. Öppnandet av detta program kommer nästan två år efter företaget
avslöjat ett säkerhetsintrång i sin betalningsportal, och en månad efter de avslöjat ett brott mot kunddata i OnePlus Store.Detta bug-bounty-program är dock lite annorlunda jämfört med motsvarande från andra företag, och detta beror på utbetalningsbelopp. Medan andra företag är villiga att erbjuda flera hundra tusen dollar för en mycket kritisk säkerhetsrisk, OnePlus erbjuder upp till $7 000 för vad de anser vara de mest kritiska hoten, medan mindre buggar kommer att gå så lågt som $50-$100. De Sida för inlämningspolicy klargör OnePlus hållning om ansvarsfullt/samordnat avslöjande, kontointeraktion, otillåtna attackmetoder, otillåtna frågor och slutligen betalningarna.
Här är listan över belöningsnivåer:
- Specialfall: upp till 7 000 USD
- Kritiskt: $750 - $1 500
- Högsta: $250 - $750
- Medium: $100 - $250
- Låg: $50 - $100
Medan $7 000 är en anständig summa för vissa människor, är det väldigt långt ifrån vad andra företag erbjuder. Med ett företag av OnePlus storlek och omfattning – de har vuxit sig mycket större sedan de lanserade OnePlus One för fem år sedan – skulle du förvänta dig att utbetalningarna för ett sådant program bara skulle vara lite mer generösa. Ändå hoppas vi att programmet kommer att bidra till att förbättra säkerheten för OnePlus-produkter. Du kan skicka in felrapporter här.
OnePlus säger också att de kommer att samarbeta med HackerOne, en hackerdriven bug-bounty-plattform, för att lansera en pilotprogram 2020, som bjuder in utvalda säkerhetsforskare att testa sina system mot potential hot.
Källa: OnePlus