Dinheiro empregado pela Google e pela Mozilla em programas de incentivo à descoberta de vulnerabilidades e erros é bem gasto. As empresas obtêm importantes vantagens
Pagar recompensas a ihackers e pesquisadores de segurança independentes para descobrirem problemas em software, é um investimento muito melhor do que a contratação de funcionários para a mesma tarefa, segundo estudo recém publicado da Universidade da Califórnia, em Berkeley.
O estudo analisou programas de recompensa por descoberta de vulnerabilidades geridos pela Google e pela Mozilla, para o Chrome e Firefox. Nos últimos três anos, a Google pagou 580 mil dólares em recompensas e a Mozilla pagou 570 mil. Como resultado desses programas, centenas de vulnerabilidades foram corrigidas nos produtos.
A conclusão dos pesquisadores é a de que esses programas são muito rentáveis. Uma vez que o salário de um programador norte-americano custa a uma empresa cerca de 100 mil dólares (envolvendo taxas de 50%), “o custo de uma dessas iniciativas é comparável ao custo de apenas um membro de uma equipa de segurança “, dizem eles. Além disso, o fato de haver mais olhos rastreando o código significa uma maior capacidade de descoberta de falhas no software.
O estudo fornece uma base sólida para defender a utilização de programas de recompensa, pouco usados por outros fornecedores de tecnologia. Adobe Systems e Oracle, por exemplo, não pagam por informações sobre vulnerabilidades. A Microsoft, que não tinha tal prática, implantou um programa de incentivo no mês passado. Até 26 de Julho, pagará 11 mil dólares pela descoberta de erros de software no browser Internet Explorer 11.
Os programas de recompensas têm outras vantagens, como por exemplo a redução da informação vendida sobre vulnerabilidades a agentes mal-intencionados e criminosos. Também podem tornar mais difícil para aos crackers encontrarem vulnerabilidades.
A vantagem da Google
Contudo, uma importante diferença entre os programas da Google e os da Mozilla pode afetar a sua eficácia. A Mozilla paga recompensa única de três mil dólares por uma vulnerabilidade.
A Google paga de acordo com uma escala, entre 500 a dez mil dólares, avaliando as vulnerabilidades descobertas e formas de as explorar conforme a dificuldade e o impacto. Os programas da última acabam por revelar três vezes mais problemas, e são mais populares.
Fonte: IDGNOW
Nenhum comentário:
Postar um comentário