Das Konzept, Außenstehende für das Entdecken unbekannter Sicherheitslücken zu entlohnen, ist nicht neu. Warum wird es dennoch bisher nur wenig umgesetzt?
Zum einen ist damit ein erheblicher Eingriff in den Softwareentwicklungsprozess verbunden. Zum anderen sind kaum praktische Anleitungen vorhanden, die den Rahmen eines Bug-Bounty-Programms skizzieren und einen allgemeinen Ansatz vorzeigen.
In diesem Vortrag wird dies auf Grundlage einer großflächigen Bug-Bounty-Marktanalyse getan und die notwendigen Bestandteile und Prozesse herausgearbeitet. Als Fallbeispiel dient der vorherige Zustand und die anschließende Implementierung bei eBay Kleinanzeigen.
Vorkenntnisse
* Keine technischen Kenntnisse notwendig.
* Hilfreich sind Grundkenntnisse über die verschiedenen Rollen und Akteure im Softwareentwicklungsprozess.
Lernziele
* Aufklärung über Marktsituation
* Anleitung und Motivation, Bug-Bounty-Programm zu etablieren.
//
Robert Philipps
@rophilipps
ist Software Engineer bei eBay im "Trust & Safety"-Team von eBay Kleinanzeigen. Hier arbeitet er daran, mit Hilfe von diversen Datenaggregationen und Machine Learning, Betrug und Policy-Verstöße auf Deutschlands größter Kleinanzeigenplattform zu erkennen und zu verhindern. Zusätzlich ist er als "Security Champion" zuständig für die eBay Kleinanzeigen Security Guild und baute hier ein Bug-Bounty-Programm auf.