Kemitraan ARK dan Bugcrowd Bergerak Maju Dengan Rilis Pengujian Keamanan Publik
Postingan ini merupakan terjemahan dari artikel Kristjan Košič dengan judul"Kemitraan ARK dan Bugcrowd Bergerak Maju Dengan Rilis Pengujian Keamanan Publik"
Membuka program Bugcrowd kepada publik memiliki potensi untuk menempatkan lebih dari 100.000 mata pada basis kode inti ARK. Membuat program karunia GitHub kami yang sudah berjalan menjadi lebih kuat.
Platform Bugcrowd telah membuktikan dirinya berulang kali dengan membantu perusahaan seperti Netflix, Binance, Netgear, Motorola, Digital Ocean, Tesla, dan banyak lagi.
Informasi program Bugcrowd publik ARK tersedia di:
https://bugcrowd.com/arkecosystem
Selama fase pengujian pribadi dari program karunia, empat kerentanan keamanan dilaporkan. Dua di antaranya terkait dengan API v1 lama kami yang sudah usang dan dua di antaranya melaporkan kemungkinan serangan Denial of Service melalui titik akhir berikut:
- https://IP:PORT/api/v2/delegates/REPLACE_HERE/blocks?page=250&limit=1
- https://IP:PORT/api/v2/wallets/top?page=0&limit=REPLACE_HERE
Dalam kedua kasus, parameter batas dapat ditimpa menyebabkan sisi server untuk melakukan pekerjaan tambahan, sehingga memperkenalkan kemungkinan penolakan aplikasi serangan layanan. Kedua titik akhir ditutup dan diperbaiki selama peningkatan v2.0.x.
Bagaimana Cara Terlibat?
Informasi program Bugcrowd publik ARK tersedia di:
https://bugcrowd.com/arkecosystem
Kami mengundang semua peneliti keamanan dan penguji penetrasi untuk memeriksa repositori Kerentanan Keamanan kami , tempat Anda dapat mempelajari tentang masalah terkini dan menggunakannya sebagai titik awal untuk mengambil beberapa ide dan menghasilkan strategi pengujian baru.
Untuk memulai pengujian, Anda dapat membaca tentang Core kami dan menggunakan Jaringan Pengembangan kami, yang seperti namanya adalah tempat pengujian dan pengembangan untuk bermain.
- Beberapa tautan penting yang dapat Anda periksa:
- Bagaimana cara kerja Core dan mekanismenya
- Dokumentasi API
- SDK untuk berinteraksi dengan ARK
- Menyiapkan simpul relai Anda sendiri
- Menyiapkan ARK Core dengan Docker ( posting blog tambahan )
- Bagaimana cara menyebarkan jaringan berbasis ARK Anda sendiri dengan Deployer - Pengembangan Network Explorer
- Daftar kerentanan keamanan yang diketahui dan ditambal
Jika Anda ingin mendapatkan token ARK Jaringan Pengembangan (DARK) untuk pengujian apa pun, silakan bergabung dengan Slack kami dan minta mereka di saluran #devnet.
Bagaimana itu bekerja
Seorang peneliti keamanan menemukan dan menyerahkan temuan ke Bugcrowd. Pengajuan ditinjau, diuji, direproduksi dan sekali divalidasi, dengan cepat disampaikan ke Tim ARK. Pada gilirannya, kami meninjau / menguji kerentanan dan menambal temuan (jika ada).
Temuan-temuan yang mungkin kritis didorong ke tim kami dalam waktu kurang dari 24 jam. Kami dapat berkomunikasi langsung dengan para peneliti untuk mendapatkan atau meminta informasi tambahan, termasuk akses ke semua percakapan antara peneliti keamanan dan Bugcrowd. Akibatnya, bug penting diperbaiki dan ditambal lebih cepat daripada yang kurang parah.
Peringkat Kerentanan Taksonomi
ARK menggunakan VRT Bugcrowd , sumber daya yang menguraikan peringkat prioritas dasar Bugcrowd. Termasuk adalah kasus tepi tertentu untuk kerentanan yang sering terlihat. Untuk sampai pada peringkat, insinyur keamanan Bugcrowd mulai dengan standar dampak industri yang diterima secara umum dan selanjutnya mempertimbangkan tingkat penerimaan rata-rata, prioritas rata-rata, dan pengecualian spesifik program yang biasanya diminta (berdasarkan kasus penggunaan bisnis) di semua program Bugcrowd.
VRT Bugcrowd adalah sumber daya yang tak ternilai bagi pemburu bug karena menguraikan jenis masalah yang biasanya dilihat dan diterima oleh program karunia bug. Kami berharap bahwa bersikap transparan tentang tingkat prioritas tipikal untuk berbagai jenis bug akan membantu peserta program menghemat waktu dan upaya yang berharga dalam upaya mereka untuk membuat target karunia lebih aman. VRT juga dapat membantu peneliti mengidentifikasi jenis bug bernilai tinggi apa yang telah mereka abaikan, dan kapan memberikan informasi eksploitasi (info POC) dalam laporan yang dapat memengaruhi prioritas.
Mengapa Crowd Sourced Security?
Kadang-kadang ada keterputusan antara motivasi penyerang jaringan, dan motivasi para pengembang dan pembela keamanan. Keamanan yang bersumber dari orang banyak membantu mengurangi ketidakseimbangan ini dengan memanfaatkan peneliti keamanan topi putih untuk menemukan dan menghilangkan kerentanan, memberikan hasil yang cepat dan fokus. Permukaan serangan paling kritis diperiksa termasuk antarmuka web dan API pada platform server / cloud, seluler dan IoT. Para peneliti keamanan dipercaya dan sangat diperiksa, menyebarkan kekhawatiran risiko yang terkait dengan keamanan yang bersumber dari kerumunan.
Sementara tim ARK dan masyarakat mengetahui cetak biru kapal mereka dengan cukup baik, seringkali para penguji dari luarlah yang dapat memberikan perspektif baru dari sudut yang berbeda.
Peningkatan besar-besaran dalam efisiensi pen-tes yang bersumber dari kerumunan akan memungkinkan ARK untuk menjangkau kelompok individu yang lebih luas dengan minat besar pada keamanan cyber. Dalam beberapa kasus, dibutuhkan waktu yang jauh lebih sedikit daripada jika kita hanya mengandalkan tim pengembangan internal atau masyarakat luas. Pada akhirnya, itu adalah prioritas tertinggi kami untuk menyediakan platform paling aman yang memungkinkan bagi semua pengguna ARK dan kami berharap menempatkan kode kami di depan ribuan penguji akan membantu kami dalam menyediakan ini.
Congratulations @yayan! You received a personal award!
You can view your badges on your Steem Board and compare to others on the Steem Ranking
Vote for @Steemitboard as a witness to get one more award and increased upvotes!