Chanzo: www.hackerone.com – Mwandishi: Hackerone. Na mabilioni katika mali ya crypto kwenye mstari, DeRIBIT – chaguzi kubwa zaidi za Bitcoin na Ethereum -inabadilisha gharama ya dosari moja ya usalama inaweza kuwa mbaya. Katika kipindi cha miaka sita iliyopita, kampuni hiyo imeunganisha mpango wa fadhila ya Hackerone-inayosimamiwa na ulinzi wake ili kukaa mbele ya vitisho, pamoja na mashambulio ya hali ya juu, yaliyofadhiliwa na serikali. Tulipata na Xavier Bruni, mhandisi wa usalama wa maombi huko DeRIBIT, kuchunguza jinsi njia hii inayofanya kazi inakuza mkakati wake wa usalama na kuweka uaminifu wa wateja katika mazingira ya hatari kubwa. Swali: Je! Kwa nini DeRIBIT ilizindua mpango wa fadhila ya mdudu? J: Ninapenda kuona usalama kama vitunguu ambapo kila safu ya ziada hutoa kinga ya ziada kwa msingi. Hatari ya kubuniwa ni kazi ya kuvutia lengo (kulingana na faida inayowezekana) na idadi ya tabaka za usalama. Tabaka zaidi za usalama unaoongeza, msingi wako bora unalindwa na kupunguza hatari yako. Kwa kuzindua mpango wa fadhila ya mdudu, tuliongeza safu nyingine ya usalama ili kupata mali za wateja wetu. Swali: Katika nafasi ya crypto, usalama mara nyingi huhusishwa na uaminifu. Je! DeRIBIT inahakikishaje kuwa mpango wake wa fadhila ya bug huimarisha uaminifu na watumiaji wake? J: Katika crypto, tunasema, “Usiamini, thibitisha.” Deribit inatekelezea usalama mazoea bora na inakubaliana na ISO 27001 na Udhibiti wa 2 wa 2 wa 2. Tunaendesha pentests na mazoezi ya timu nyekundu mara kwa mara na kabla ya kuzindua huduma mpya. Programu ya fadhila ya mdudu inaongeza safu nyingine ya hakiki ya usalama na inatoa njia ya kisheria na thawabu za kifedha kwa mtu yeyote kugundua mdudu katika deribit. Swali: Je! Kwa nini DeRibit alichagua Hackerone kusimamia mpango wake? J: Wewe ni salama tu kama kiungo chako dhaifu. Hackerone ina jamii kubwa zaidi ya watafiti wa usalama, wote walio na seti tofauti za ustadi, uzoefu, na utaalam, kuhakikisha chanjo kamili ya mali zetu ili hakuna eneo lisilopuuzwa. Kwa kuongezea, tangu kuanzishwa kwake, DeRIBIT imetetea cryptocurrensets na nguvu na uhuru wanaowawezesha. Hackerone ni moja wapo ya majukwaa adimu ambayo hutoa watafiti wa usalama uwezekano wa kupokea malipo katika crypto, ambayo inalingana na maadili yetu. Swali: Je! Umekuwa na mwingiliano wowote wa kukumbukwa na watafiti wa usalama hadi leo? Mende unazopenda? J: Miaka michache iliyopita, mtafiti wa usalama aliripoti mdudu bila majina na hakuwahi kudai tikiti. Tuliwekeza wakati wa kumfuata ili tuweze kumlipa. Tunataka watafiti wa usalama kuwinda kwenye programu yetu, na tunataka kuwalipa vizuri! Swali: Pamoja na mabadiliko ya haraka ya teknolojia ya blockchain, ni changamoto gani za kipekee za usalama ambazo zinakabiliwa nazo, na mpango wa fadhila ya mdudu unasaidiaje kuzishughulikia? J: Blockchain na crypto ni viwanda vya kidunia na vinavyoibuka haraka, na bidhaa nyingi bado hazijasimama mtihani wa wakati. Ili kufanya mambo kuwa mabaya zaidi, kiasi cha pesa na kubadilika kwa shughuli hufanya kampuni za crypto kuwa lengo la kuvutia sana kwa watu mbaya na vikundi vya APT (vitisho vya kuendelea). Programu ya Fadhila ya Mdudu hutusaidia kupata udhaifu mbele ya watendaji mbaya na hufundisha kila wakati timu yetu ya usalama kugundua na kujibu vitisho vinavyowezekana. Swali: Chochote cha kusema moja kwa moja kwa jamii ya mtafiti wa usalama? J: Deribit amekuwa na mpango wa fadhila ya mdudu kwa miaka 6 tayari. Tulianza kama mpango wa kujishughulisha na kisha tukageuka kuwa mpango uliosimamiwa (kwanza kwenye Bugcrowd na sasa kwenye Hackerone). Kujitolea hii kwa kutoa mpango wetu wa fadhila ya mdudu kunaonyesha jinsi watafiti wa usalama walivyokuwa katika kupata ubadilishanaji. Tumependa safari; Kukutana na watu wapya, malipo ya malipo, na mbinu za kushambulia riwaya za riwaya. Tunashukuru sana watafiti wa usalama ambao wameripoti maswala kupitia mpango wetu wa fadhila ya mdudu. Endelea kuvinjari! URL ya chapisho la asili: https://www.hackerone.com/blog/six-years-proactive-defense-deritibits-journey-hackerone