O objetivo deste post é auxiliar na escolha do melhor modelo de programa de Bug Bounty. Na plataforma BugHunt existem dois modelos de programa, que são eles: Público e Privado.
Cada um dos programas possuem suas características e devem ser escolhidos de acordo com cada produto, superfície de acesso e maturidade do mesmo.
Para quais produtos deve-se utilizar um Programa Público?
Programas Públicos são indicados para produtos que já possuem uma maturidade grande, tanto em segurança quanto no seu desenvolvimento e processos, e também para aqueles que possuem um grau de exposição grande (com grande superfície de acesso). São aqueles sites, serviços ou produtos que são disponibilizados de forma direta na internet e que qualquer usuário, ou um grande número de usuários, podem acessar. Alguns exemplos são: Ecommerces, Apps que são disponibilizados em lojas, Sites de atendimento, etc.
Os Programas Públicos ficam disponíveis para toda a comunidade de especialistas da BugHunt, isso indica uma grande exposição e grande quantidade de análises direcionadas, o que gera um retorno muito rápido de vulnerabilidades identificadas.
Para quais produtos deve-se utilizar um Programa Privado?
Programas Privados são indicados para produtos novos, inclusive aqueles que estão em fase de lançamento ou ainda que demandam de total discrição. Os programas privados contam com privacidade, ou seja, somente são convidados os especialistas validados pela BugHunt. A empresa pode selecionar os especialistas que deseja convidar para o programa, visando escolher aqueles que possuem mais similaridades de conhecimento com o produto ou sistema a ser avaliado.
Todos os programas da BugHunt possuem regras específicas, estabelecidas pela empresa, que devem ser descritas baseadas nas necessidades de testes do produto ou sistema.
Serviço Gerenciado BugHunt
Além dessas modalidades, você pode optar pelo apoio da equipe do Serviço Gerenciado BugHunt para auxiliar na modelagem e no gerenciamento do seu programa, independente se optar pelo modelo público ou privado.
Com o Serviço Gerenciado, a BugHunt disponibiliza um time de triagem, que atua para que sua empresa receba somente os relatórios que realmente interessam, com avaliação do grau de cada vulnerabilidade, remoção de possíveis falsos positivos e duplicados. O Serviço Gerenciado BugHunt também disponibiliza para você um CSM (Customer Success Manager) para te manter em contato direto com a plataforma, visando entregar a melhor experiência e sempre com os melhores resultados!
Para mais informações entre em contato conosco!