25 Июля, 2013

Сколько стоит баг?

InfoWatch
Это обстоятельство крайне мешает такому полезному предприятию, как оплата доброхакерам за найденные ошибки. На хакерском краудсорсинге можно было бы даже систему государственной сертификации построить, не говоря о банальном предотвращении мошенничества и утечек.
       

Мешает то, что нельзя заранее оценить, сколько платить за найденную уязвимость. Ни хакер, ни производитель, ни пользователь бажной системы не могут даже приблизительно определить стоимость, пока не изучили суть уязвимости. А после изучения – уже поздно торговаться, карты раскрыты. Остаётся один метод – надеяться на совесть, добрую волю и щедрость "покупателя" уязвимости, которые обычно отсутствуют. Просто потому, что это не человек, а предприятие, юрлицо, бюрократическая машина, лишённая гуманистических качеств, в том числе, упомянутых.

Оттого и не спешат этичные хакеры отдать найденную ошибку на исправление. К тому же, часто есть другой покупатель, на этот раз – без кавычек.

Что за проблема такая? Обе стороны готовы совершить сделку, обеим она может быть выгодна. Но не совершают. Нет механизма договориться.

Продавать товар вслепую, без возможности его изучить и попробовать – эту задачу человечество решает давно. Взять, например, то же заключение брака... Эффективных рецептов такой продажи не найдено. Репутация сторон, оценка посредником, страхование – все эти методы работают в иных обстоятельствах, но тут малоприменимы.

После недолгих, но глубоких измышленийраздумий ваш покорный слуга нашёл решение. Оно состоит в распространении на найденные уязвимости авторского или патентного права, либо введении отдельного раздела интеллектуальной собственности для багов. При этом найденную уязвимость законом запрещается устранятьбез разрешения правообладателя, т.е. лица, её нашедшего и/или зарегистрировавшего. А имея указанную защиту права, они (хакер и производитель) поторгуются в условиях полной ясности и наверняка договорятся.

comments powered by Disqus