Bug Bounty, belli bir yazılımın açıklarının bulunması (bug) amacıyla yazılımın sahibi şirket tarafından herkesin katılımına açık olarak gerçekleştirilen güvenlik yarışmalarıdır. Türkçede Ödül Avcılığı olarak da kullanılan Bug Bounty yarışmalarının amacı, şirketlerin yazılımlarının güvenlikliklerini sınaması ve bu doğrultuda ortaya çıkan açıkların giderilerek daha gelişmiş, güvenli bir yazılımın ortaya çıkarılmasıdır.
Bug Bounty yarışmaları sayesinde şirketler güvenlik şirketlerinin yanı sıra tüm son kullanıcılara ve geliştiricilerle yazılımları sınama şansı elde eder. Rapor edilen bugların giderilmesiyle de Bug Bounty programı başarıyla tamamlanarak ödüller dağıtılır.
Bug Bounty Programları
Sayısız yazılım geliştiricisi veya internet sitesi Bug Bounty yarışmaları gerçekleştirerek sistemleri üzerindeki açıkları keşfetmesi için hackerlarla çalışma şansı elde eder. Çoğu zaman beyaz şapkalı hacker olarak adlandırılan White Hat Hacker grubuna dahil bilgisayar korsanları bu programlara katılarak hem kendi yeteneklerini dener hem de yazılımın güvenlik sınırının öğrenilmesine yardımcı olur.
Bug Bounty yazılımlarının tümü mutlaka ödül üzerine gerçekleştirilir. Ödül bazen nakit olurken bazen firmanın sunduğu servislerle ya da diğer fırsatlarla ilişkili olabilir. Misal, Mozilla gerçekleştirdiği bir Bug Bounty yarışmasının kazananına 3,000 dolar para ödülü sunarken Facebook tek bir bug’ı kendilerine bildiren bir internet korsanına 20,000 dolar ödeme gerçekleştirmiştir.
Bug Bounty programlarında, programın sahibinin büyüklüğü ve yazılımın ciddiyeti de her zaman ödülün daha yüksek olması anlamına gelir. Örneğin; 2012 Yılında Google, Chrome işletim sistemi üzerinde keşfedilen açıklara karşılık 700,000 dolar bug bounty ödülü dağıtmıştır. Microsoft ise Windows 8.1’deki ölümcül bir açığı fark eden geliştiriciye 100.000 dolar Bug bounty ödülü vermiştir.
Her şirket kendi Bug Bounty yarışmasını düzenlerken farklı kurallar belirleyip, bu kurallara uyulmasını bekleme hakkına sahiptir. Bu nedenle Bug Bounty programlarına katılmayı düşünen bilişimcilerin sistemi incelemeden önce şartları okuması ve yarışmanın detaylarına hakim olması önemlidir.
Bug Nedir?
Bug (Böcek), donanım veya yazılımla ilgili olarak meydana gelen herhangi beklenmeyen sorunu tanımlamak için kullanılan bir terimdir. Bu hatalara böcek denilmesinin birçok farklı nedeni olmasına karşın, halk arasında en yaygın bilinen n...
Bug Bounty Bulmak
Bug Bounty yarışmalarını bulmak ve katılmak için güvenlik ve teknoloji sektörüyle ilgili internet sitelerini sürekli mercek altında tutmanız gerekir. Takip edeceğiniz kaynaklar aracılığıyla hangi yazılım şirketi veya internet sitelerinin Bug Bounty yarışmaları düzenlediğinden haberdar olabilir ve katılabilirsiniz.
Türkçe dilinde teknoloji sitelerini takip etmeniz Bug bounty programlarından haberdar olmanız için yeterli olacaktır. Yine de aşağıdaki kaynakları kullanarak sürekli olarak aktif olan Bug Bounty yarışmalarına erişebileceğinizi unutmayın.
- https://www.wmaraci.com/blog
- https://bugcrowd.com/list-of-bug-bounty-programs
- https://www.vulnerability-lab.com/list-of-bug-bounty-programs.php
- https://hackerone.com/bug-bounty-programs
- https://firebounty.com
Ayrıca WM Aracı Forumunu takip ederek de üyelerimizin başlattığı Bug Bounty programlarına katılabilirsiniz.
