برنامج مكافآت اكتشاف الثغرات
برنامج مكافآت اكتشاف الثغرات هو اتفاقية تقدمها العديد من المواقع الإلكترونية والمنظمات ومطوري البرامج، حيث يحصل الأفراد بموجبها على تقدير ومكافأة مالية [ 1 ] مقابل الإبلاغ عن الثغرات ، وخاصة تلك المتعلقة بالثغرات الأمنية . [ 2 ] وإذا لم تُقدم مكافأة مالية، يُطلق عليه برنامج الكشف عن الثغرات . [ 3 ] [ 4 ]
تُعتبر هذه البرامج، التي يمكن اعتبارها شكلاً من أشكال اختبار الاختراق الجماعي ، [ 5 ] إذ تمنح الإذن لأفراد غير تابعين لها - يُطلق عليهم صائدو الثغرات، [ 6 ] أو القراصنة الأخلاقيون [ 7 ] - باكتشاف الثغرات الأمنية والإبلاغ عنها. [ 3 ] إذا اكتشف المطورون الثغرات وقاموا بإصلاحها قبل أن يعلم بها عامة الناس، فإن الهجمات الإلكترونية التي كان من الممكن أن تستغلها تصبح غير ممكنة. [ 3 ]
يأتي المشاركون في برامج مكافآت اكتشاف الثغرات الأمنية من دولٍ مختلفة، ورغم أن الدافع الرئيسي هو المكافأة المالية، إلا أن هناك دوافع أخرى عديدة للمشاركة. فبإمكان المخترقين جني أموالٍ طائلة مقابل بيع ثغرات أمنية غير مُعلنة ( ثغرات اليوم الصفر) إلى سماسرة أو شركات برامج تجسس أو جهات حكومية، بدلاً من بيعها لمورّد البرامج. وإذا بحثوا عن ثغرات خارج نطاق برامج مكافآت اكتشاف الثغرات، فقد يواجهون تهديدات قانونية بموجب قوانين الجرائم الإلكترونية . وقد ازداد نطاق هذه البرامج بشكلٍ كبير في أواخر العقد الثاني من الألفية.
تدير بعض الشركات والمؤسسات الكبيرة برامجها الخاصة بمكافآت اكتشاف الثغرات الأمنية، بما في ذلك مايكروسوفت، وفيسبوك، وجوجل، وموزيلا ، والاتحاد الأوروبي ، [ 8 ] والحكومة الفيدرالية الأمريكية . [ 9 ] بينما تقدم شركات أخرى مكافآت اكتشاف الثغرات الأمنية عبر منصات مثل HackerOne .
تاريخ
في عام 1851، تقاضى ألفريد تشارلز هوبز 20,000 دولار أمريكي (معدلة حسب التضخم) مقابل فتح قفل. [ 10 ] وفي عام 1983، نشرت شركة هانتر آند ريدي إعلانًا بشعار "احصل على مكافأة إذا وجدت ثغرة"، عارضةً مكافأة المخترقين الذين يكتشفون ثغرات في نظام التشغيل VRTX بسيارة فولكس فاجن بيتل . [ 11 ] [ 12 ] وفي عام 1995، أطلقت نتسكيب برنامج مكافآت اكتشاف الثغرات، للنسخة التجريبية من متصفح نتسكيب نافيجاتور 2.0. [ 10 ] [ 13 ] [ 14 ] وفي وقت لاحق، أطلقت شركات أخرى برامجها الخاصة لمكافآت اكتشاف الثغرات. وقد تم دعم هذه البرامج بمنصات التعهيد الجماعي التي سهّلت على المحترفين العثور على مكافآت اكتشاف الثغرات. [ 10 ]
تحفيز

على الرغم من سعي المطورين لتقديم منتج يعمل بكفاءة تامة كما هو مُصمم له، إلا أن جميع البرامج تقريبًا تحتوي على أخطاء برمجية. [ 15 ] [ 5 ] يُطلق على الخطأ البرمجي الذي يُشكل خطرًا أمنيًا اسم ثغرة أمنية ، وإذا لم يكن المُصنِّع على دراية به، يُطلق عليه اسم ثغرة يوم الصفر . [ 16 ] [ 17 ] تختلف الثغرات الأمنية في مدى إمكانية استغلالها من قِبل جهات خبيثة. بعضها غير قابل للاستخدام على الإطلاق، بينما يُمكن استخدام البعض الآخر لتعطيل الجهاز بهجوم حجب الخدمة . أما الثغرات الأكثر خطورة فتسمح للمهاجم بحقن وتشغيل برمجياته الخاصة دون علم المستخدم. [ 18 ] قد تكون أضرار الهجوم وخيمة . [ 19 ]
تسعى المؤسسات إلى تحسين أمن أنظمتها من خلال اختبارها للتأكد من عدم وجود ثغرات أمنية. [ 5 ] يتعاقد العديد منها مع جهات خارجية لإجراء اختبارات الاختراق ، إلا أن هذا لا يكفي لاكتشاف جميع الثغرات، مما يدفع بعض الشركات إلى الاستعانة بمعلومات من مصادر متعددة. [ 3 ] تشكك العديد من الشركات في تقارير الجهات الخارجية، [ 20 ] خشية أن تؤدي هذه البرامج إلى زيادة الأنشطة الخبيثة، أو ارتفاع التكاليف، أو تقديم تقارير احتيالية. في المقابل، قد يتم تجاهل برامج مكافآت اكتشاف الثغرات الأمنية إما لثقة الشركات في أمان تطبيقاتها أو لتفضيل تدابير أمنية أخرى. [ 21 ] وقد وجدت بعض الدراسات أن تكلفة اكتشاف كل ثغرة أمنية أقل بكثير عبر برامج المكافآت مقارنةً بتوظيف مهندسي برمجيات للبحث عن الثغرات. [ 20 ]
مكافآت
يختلف حجم المكافأة المقدمة بناءً على عوامل مثل حجم الشركة، وصعوبة اكتشاف الثغرة الأمنية، ومدى خطورة آثارها في حال استغلالها. [ 6 ] غالبًا ما يحقق مكتشفو الثغرات الأمنية الناجحون أرباحًا تفوق ما يحققه مطورو البرامج . [ 22 ] تركز العديد من برامج مكافآت اكتشاف الثغرات الأمنية على تطبيقات الويب . [ 23 ]
في أغسطس/آب 2013، أبلغ طالب فلسطيني متخصص في علوم الحاسوب عن ثغرة أمنية تسمح لأي شخص بنشر مقطع فيديو على أي حساب فيسبوك. ووفقًا لمراسلات البريد الإلكتروني بين الطالب وفيسبوك، فقد حاول الإبلاغ عن الثغرة باستخدام برنامج مكافآت اكتشاف الثغرات التابع لفيسبوك، إلا أن مهندسي فيسبوك أساءوا فهمه. لاحقًا، استغل الطالب الثغرة باستخدام حساب مارك زوكربيرج على فيسبوك ، مما أدى إلى رفض فيسبوك دفع المكافأة له. [ 24 ]

بدأت شركة فيسبوك بدفع مكافآت للباحثين الذين يكتشفون ويبلغون عن الثغرات الأمنية من خلال إصدار بطاقات خصم تحمل علامة "القبعة البيضاء" التجارية، والتي يمكن إعادة شحنها بالأموال في كل مرة يكتشف فيها الباحثون ثغرات جديدة. [ 25 ]
في عام 2016، تعرضت شركة أوبر لحادثة أمنية عندما تمكن شخص ما من الوصول إلى المعلومات الشخصية لـ 57 مليون مستخدم حول العالم. يُزعم أن هذا الشخص طالب بفدية قدرها 100 ألف دولار مقابل إتلاف البيانات بدلاً من نشرها. وفي شهادته أمام الكونغرس، أشار مسؤول أمن المعلومات في أوبر إلى أن الشركة تحققت من إتلاف البيانات قبل دفع المبلغ. [ 26 ] وأعرب مسؤول أمن المعلومات في أوبر عن أسفه لعدم الكشف عن الحادثة في عام 2016. وكجزء من استجابتها، تعاونت أوبر مع هاكر وان لتحديث سياسات برنامج مكافآت اكتشاف الثغرات الأمنية، لتوضيح أهمية البحث عن الثغرات والإفصاح عنها بحسن نية. [ 27 ]
تعرضت ياهو! لانتقادات شديدة لإرسالها قمصانًا تحمل شعارها كمكافأة لباحثي الأمن الذين اكتشفوا ثغرات أمنية في ياهو! وأبلغوا عنها. [ 28 ] وعندما أطلقت شركة إيكافا أول برنامج معروف لمكافآت اكتشاف الثغرات في أنظمة التحكم الصناعية (ICS) عام 2013، [ 29 ] [ 30 ] وُجهت إليها انتقادات لتقديمها رصيدًا في المتجر بدلًا من النقد، وهو ما لا يحفز باحثي الأمن. [ 31 ] وأوضحت إيكافا أن البرنامج كان يهدف في البداية إلى أن يكون محدودًا ويركز على سلامة المستخدمين، وتحديدًا مستخدمي برنامج IntegraXor SCADA ، وهو برنامج أنظمة التحكم الصناعية الخاص بها. [ 29 ] [ 30 ]
تتطلب بعض برامج مكافآت اكتشاف الثغرات من الباحثين توقيع اتفاقية عدم إفصاح مقابل الحصول على أجر أو مزايا الحماية القانونية من البرنامج. وقد وُجهت انتقادات لهذه الممارسة لأسباب أخلاقية، إذ تُتيح للشركة إخفاء معلومات عن الثغرات الأمنية. [ 32 ] [ 33 ] [ 34 ]
التقارير
نظرًا لأن تقديم التقارير متاح للجميع، فإن نسبة كبيرة منها (تُقدّر بنحو 50-70% في منصة HackerOne ، وهي الأكبر) غير صالحة. [ 35 ] [ 36 ] وجدت إحدى الدراسات أن معظم التقارير رُفضت باعتبارها ثغرات معروفة مسبقًا، تليها التقارير الإيجابية الخاطئة ، والتقارير الخارجة عن نطاق البحث، والتقارير المكررة، والتقارير التي تفتقر إلى دليل على المفهوم . ووجدت دراسة أخرى أن برامج مكافآت اكتشاف الثغرات التي تقدم مبالغ مالية أكبر تتلقى عددًا أكبر من التقارير الصالحة. [ 37 ] أحد أسباب التقارير غير الصالحة هو سهولة تقديم التقارير بالنسبة للمخترقين بدلًا من بذل جهد إضافي للتحقق من حلولهم. [ 38 ] وقد اتخذت بعض منصات مكافآت اكتشاف الثغرات، بما في ذلك HackerOne، إجراءات للحد من عدد التقارير غير الصالحة. [ 38 ] وقد تقتصر برامج مكافآت اكتشاف الثغرات على دعوة باحثي الأمن الموثوق بهم بدلًا من أن تكون متاحة للعامة. [ 39 ] وللتحقق من صحة الثغرة والحصول على مكافأة، يتعين على المخترق عادةً إنشاء برنامج استغلال لإثبات أن الثغرة المكتشفة هي ثغرة أمنية حقيقية . [ 6 ] تشمل الثغرات الأمنية الأكثر شيوعًا التي يتم الإبلاغ عنها في برامج مكافآت اكتشاف الأخطاء حقن SQL ، والبرمجة النصية عبر المواقع (XSS)، وعيوب التصميم. [ 40 ]
مشاركون
يأتي المشاركون في برامج مكافآت اكتشاف الثغرات الأمنية من دولٍ مختلفة. في استطلاعٍ أُجري بين المخترقين على منصة HackerOne ، أفاد 19% منهم بأنهم من الولايات المتحدة. [ 34 ] يُمكن لأي شخص تقديم بلاغات، بغض النظر عن خلفيته التعليمية أو عمره. [ 41 ] تأتي غالبية البلاغات من عددٍ قليل نسبيًا من المخترقين. [ 42 ] وقد ازداد عدد المُبلّغين والبلاغات بشكلٍ ملحوظ في أواخر العقد الثاني من الألفية الثانية. [ 43 ]
على الرغم من أن الدافع الأكثر شيوعًا لدى المشاركين في برامج مكافآت اكتشاف الثغرات هو المكافأة المالية مقابل الإبلاغ عنها، [ 44 ] إلا أن هناك عوامل تحفيزية أخرى تشمل إمكانية التقدير، والتحدي الفكري، والتعلم، وفرص العمل. [ 45 ] [ 3 ] [ 7 ] وقد وجدت دراسة نُشرت عام 2017 في مجلة الأمن السيبراني أن برامج مكافآت اكتشاف الثغرات الأحدث استقطبت عددًا أكبر من الباحثين، على الرغم من أن البرامج الأقدم كانت تقدم مكافآت مالية أعلى. [ 46 ]
برامج بارزة
شركة كبرى
في أكتوبر 2013، أعلنت جوجل عن تغيير جذري في برنامج مكافآت اكتشاف الثغرات الأمنية. كان البرنامج سابقًا مخصصًا لاكتشاف الأخطاء البرمجية التي تغطي العديد من منتجات جوجل. ومع هذا التغيير، تم توسيع نطاق البرنامج ليشمل مجموعة مختارة من تطبيقات ومكتبات البرامج المجانية عالية المخاطر ، وخاصة تلك المصممة للشبكات أو لوظائف نظام التشغيل الأساسية . وكانت التطبيقات التي تتوافق مع إرشادات جوجل مؤهلة للحصول على مكافآت تتراوح بين 500 دولار و3133.70 دولارًا. [ 47 ] [ 48 ] وفي عام 2017، وسّعت جوجل برنامجها ليشمل الثغرات الأمنية المكتشفة في التطبيقات التي طورتها جهات خارجية والمتاحة عبر متجر جوجل بلاي . [ 49 ] ويشمل برنامج مكافآت اكتشاف الثغرات الأمنية من جوجل الآن الثغرات الموجودة في منتجات جوجل، وجوجل كلاود، وأندرويد، وكروم، بمكافآت تصل إلى 31337 دولارًا. [ 50 ]
تعاونت مايكروسوفت وفيسبوك في نوفمبر 2013 لرعاية برنامج "مكافآت اكتشاف الثغرات الأمنية على الإنترنت " ، وهو برنامج يقدم مكافآت مقابل الإبلاغ عن الاختراقات والثغرات الأمنية في مجموعة واسعة من البرامج المتعلقة بالإنترنت. [ 51 ] وفي عام 2017، رعت كل من GitHub ومؤسسة فورد هذه المبادرة، التي يديرها متطوعون من شركات مثل أوبر، ومايكروسوفت، [ 52 ] وأدوبي، وهاكر وان، وGitHub، ومجموعة NCC ، وسيجنال ساينسز. [ 53 ]
حكومة
في مارس 2016، أعلن بيتر كوك عن أول برنامج مكافآت لاكتشاف الثغرات الأمنية في الحكومة الفيدرالية الأمريكية، وهو برنامج "اختراق البنتاغون". [ 54 ]
في عام 2019، أعلنت المفوضية الأوروبية عن مبادرة EU-FOSSA 2 لمكافآت اكتشاف الثغرات الأمنية في مشاريع المصادر المفتوحة الشائعة، بما في ذلك دروبال ، وأباتشي تومكات ، وVLC ، و7-zip ، وكي باس . وقد شاركت في تيسير المشروع منصة مكافآت اكتشاف الثغرات الأمنية الأوروبية Intigriti وشركة HackerOne، وأسفر عن اكتشاف 195 ثغرة أمنية فريدة وصالحة. [ 55 ]
في عام 2025، أطلقت حكومة جمهورية التشيك برنامجها الرسمي لمكافآت اكتشاف الثغرات على منصة القرصنة الأخلاقية Hackrate. [ 56 ]
المنصات
توجد بعض المنصات، وأكبرها HackerOne ، التي تُدير برامج مكافآت لاكتشاف الثغرات الأمنية نيابةً عن مُوردي البرامج، وتدفع مكافآت تُحددها الشركة المُوردة. [ 8 ] ومن المنصات الأخرى Cobalt و Bugcrowd وSynact. [ 57 ] [ 58 ] [ 59 ] أما Open Bug Bounty فهو برنامج مكافآت جماعي لاكتشاف الثغرات الأمنية، أُنشئ عام 2014، ويُتيح للأفراد الإبلاغ عن الثغرات الأمنية في مواقع الويب وتطبيقاتها، أملاً في الحصول على مكافأة من مُشغلي المواقع المُتضررة. [ 60 ]
بحث
اعتبارًا من عام 2021ركزت معظم الأبحاث الكمية حول برامج مكافآت اكتشاف الثغرات الأمنية على مجموعات البيانات المتاحة للعموم. ولم تُنشر أبحاث حول مكافآت اكتشاف الثغرات الأمنية في الأنظمة الحساسة للسلامة ، والتي أصبحت متصلة بشكل متزايد بالإنترنت. معظم الأبحاث الموجودة كمية، وقد أعدّها خبراء في علوم الحاسوب، مع افتقارها إلى منظورات متعددة التخصصات تُدمج رؤى مجالات مثل الاقتصاد والقانون والفلسفة. [ 44 ]
الشرعية
يتشابه اكتشاف الثغرات الأمنية مع الهجمات الإلكترونية في جوانب عديدة . وقد تُخالف تصرفات حتى المخترقين ذوي النوايا الحسنة القوانين الجنائية المُطبقة لمقاضاة مجرمي الإنترنت. ولا يمتلك معظم المخترقين خبرة قانونية، كما يفتقرون إلى معرفة القانون في نطاق اختصاصهم. [ 61 ] ومن الشائع أن يتلقى مكتشفو الثغرات الأمنية تهديدات قانونية بعد الكشف عنها. [ 62 ]
على الرغم من أن جميع برامج مكافآت اكتشاف الثغرات تقريبًا تعد بحماية التقارير المتوافقة مع سياساتها، [ 61 ] إلا أنه إذا لم تندرج الثغرة المكتشفة ضمن برنامج مكافآت اكتشاف الثغرات القائم، فقد تقوم الشركة المعنية بالإبلاغ عنها باعتبارها هجومًا إلكترونيًا غير قانوني. [ 61 ] [ 62 ] في الصين، تم اعتقال بعض المبلغين عن الثغرات ومحاكمتهم، بمن فيهم قادة منصة WooYun ، وهي أقدم وأكبر منصة للإبلاغ عن الثغرات في البلاد. [ 61 ]
أسواق الضعف البديلة
لا تستجيب جميع الشركات بشكل إيجابي للإفصاحات، إذ قد تُسبب مسؤولية قانونية وتكاليف تشغيلية إضافية. ومن الشائع تلقي رسائل إنذار من موردي البرامج بعد الكشف عن ثغرة أمنية مجانًا. [ 63 ] بعض الأفراد الذين يكتشفون ثغرة أمنية غير معروفة سابقًا، أو ما يُعرف بثغرة اليوم الصفر ، لا يبيعونها للمورد بشكل مباشر أو غير مباشر عبر برامج مكافآت اكتشاف الثغرات. ووفقًا لإحدى الدراسات، فإن أكثر الأسباب شيوعًا لعدم الإبلاغ عن ثغرة أمنية هي استخدام لغة تهديدية على الموقع الإلكتروني، وعدم وجود جهة واضحة للإبلاغ، وعدم تلقي رد على تقارير الثغرات السابقة. [ 64 ]
يمكن لمكتشفي الثغرات الأمنية جني أموال طائلة، تتجاوز مليون دولار أمريكي في بعض الحالات، عن طريق بيع هذه الثغرات لوسطاء مثل Zerodium ، وشركات برامج التجسس مثل NSO Group ، والحكومات، ووكالات الاستخبارات. وقد تستخدم الجهات الحكومية هذه الثغرات لشن هجمات إلكترونية ، أو لتخزينها، أو لإبلاغ البائع. [ 65 ] [ 17 ] [ 8 ] كما يبيع بعض المخترقين الثغرات التي عثروا عليها لجماعات إجرامية. [ 66 ] وفي عام 2015، قُدِّر حجم سوق الثغرات الحكومية والإجرامية بما لا يقل عن عشرة أضعاف حجم سوق مكافآت اكتشاف الثغرات. [ 65 ]
انظر أيضاً
مراجع
- ↑ دينغ، آرون يي؛ دي جيسوس، جيانلوكا ليمون؛ جانسن، مارين (2019). "الاختراق الأخلاقي لتعزيز إدارة ثغرات إنترنت الأشياء" . وقائع المؤتمر الدولي الثامن للاتصالات والاستشعار عن بعد . ICTRS '19. رودس، اليونان: مطبعة ACM. ص 49-55 . arXiv : 1909.11166 . doi : 10.1145/3357767.3357774 . ISBN 978-1-4503-7669-3. S2CID 202676146 .
- ↑ ويلين كرانينبارغ، مارلين؛ هولت، توماس جيه؛ فان دير هام، جيرون (19 نوفمبر 2018). "لا تقتلوا ناقل الخبر! منظور جنائي وعلوم حاسوبية حول الكشف المنسق عن الثغرات الأمنية" . مجلة علوم الجريمة . 7 (1): 16. doi : 10.1186/s40163-018-0090-8 . hdl : 1871.1/8cdcfab0-9864-46c2-a7b7-a295c8ee511a . ISSN 2193-7680 . S2CID 54080134 .
- 1 2 3 4 5 6 ماجالهايس 2024 ، ص. 236.
- ↑ جاكسون 2021 ، ص. 6.
- 1 2 3 ماجالهايس 2024 ، ص. 235.
- 1 2 3 لوزانو وأمير 2018 ، ص. 5.
- 1 2 لازكا وآخرون. 2018 ، ص. 138.
- 1 2 3 ماجالهايس 2024 ، ص. 241.
- ↑ "البنتاغون يفتح أبوابه للمخترقين - ويصلح آلاف الثغرات" . مجلة وايرد . ١٠ نوفمبر ٢٠١٧. تم الاطلاع عليه بتاريخ ٢٥ مايو ٢٠١٨ .
- 1 2 3 جاكسون 2021 ، ص. 3.
- ↑ "ملصق VRTX - 102782474 - CHM" . www.computerhistory.org . تم الاطلاع عليه بتاريخ 20 مارس 2026 .
- ↑ كونجر، كيت (19 يناير 2017). "اختراق الجيش" . تيك كرانش . تم الاسترجاع في 20 مارس 2026 .
- ↑ "المكافأة تجذب مكتشفي الثغرات" . سي نت . 13 يونيو 1997. تم الاطلاع عليه في 17 أكتوبر 2023 .
- ↑ فريس-جنسن، إسبن (11 أبريل 2014). "تاريخ برامج مكافآت اكتشاف الثغرات" . Cobalt.io . مؤرشف من الأصل في 16 مارس 2020. تم الاطلاع عليه في 17 أكتوبر 2023 .
- ↑ أبلون وبوغارت 2017 ، ص. 1.
- ↑ أبلون وبوغارت 2017 ، ص. iii، 2.
- 1 2 Sood & Enbody 2014 ، ص. 1.
- ↑ أبلون وبوغارت 2017 ، ص. 2.
- ^ ماجالهايس 2024 ، ص 235-236.
- 1 2 ماجالهايس 2024 ، ص 239-240.
- ↑ جاكسون 2021 ، ص 4.
- ↑ لوزانو وأمير 2018 ، ص 12.
- ↑ سينها 2019 ، ص 219.
- ↑ "اختراق صفحة زوكربيرج على فيسبوك لإثبات وجود ثغرة أمنية" . سي إن إن. 20 أغسطس 2013. تم الاطلاع عليه بتاريخ 17 نوفمبر 2019 .
- ↑ ميلز، إلينور (31 ديسمبر 2011). "بطاقة الخصم الآمنة من فيسبوك" . سي نت.
- ↑ «شهادة جون فلين، كبير مسؤولي أمن المعلومات في شركة أوبر تكنولوجيز» (ملف PDF) . مجلس الشيوخ الأمريكي. 6 فبراير 2018. تم الاطلاع عليه في 4 يونيو 2018 .
- ↑ "أوبر تُشدد سياسة الابتزاز المتعلقة بمكافآت اكتشاف الثغرات الأمنية" . ثريت بوست. 27 أبريل 2018. تم الاطلاع عليه في 4 يونيو 2018 .
- ↑ أوزبورن، تشارلي. "ياهو تُغيّر سياسة مكافآت اكتشاف الثغرات الأمنية بعد فضيحة القمصان"" . ZDNet .
- 1 2 توكر، مايكل (23 يوليو 2013). "المزيد حول برنامج مكافآت اكتشاف الثغرات الأمنية لشركة إنتغراكسور" . ديجيتال بوند . تم الاطلاع عليه في 21 مايو 2019 .
- 1 2 راغان، ستيف (18 يوليو 2013). "بائع أنظمة التحكم الإشرافي وتحصيل البيانات (SCADA) يواجه ردود فعل سلبية من الجمهور بسبب برنامج مكافآت اكتشاف الثغرات" . CSO . تم الاطلاع عليه في 21 مايو 2019 .
- ↑ راشي، فهميدة ي. (16 يوليو 2013). "انتقادات لاذعة لبائع أنظمة التحكم الإشرافي وتحصيل البيانات (SCADA) بسبب برنامج مكافآت اكتشاف الثغرات "المثير للشفقة" . أسبوع الأمن . تم الاطلاع عليه في 21 مايو 2019 .
- ↑ "كيفية تعامل زووم مع الثغرة الأمنية تكشف الجانب المظلم لبرامج مكافآت اكتشاف الثغرات" . ProPrivacy.com . تاريخ الاطلاع: 17 مايو 2023 .
- ↑ بوروب، جيه إم (2 أبريل 2020). "منصات مكافآت اكتشاف الثغرات تشتري صمت الباحثين وتنتهك قوانين العمل، بحسب النقاد" . موقع CSO الإلكتروني . تم الاطلاع عليه في 17 مايو 2023 .
- 1 2 Magalhães 2024 ، ص. 246.
- ^ لاشكا وآخرون. 2018 ، ص. 139.
- ↑ Magalhães 2024 ، ص 237.
- ^ ماجالهايس 2024 ، ص 237-238.
- 1 2 لازكا وآخرون. 2016 ، ص. 162.
- ↑ لوزانو وأمير 2018 ، ص 8.
- ^ ماجازينيوس وآخرون. 2021 ، ص. 97.
- ↑ لوزانو وأمير 2018 ، ص 11-12.
- ^ ماجازينيوس وآخرون. 2021 ، ص. 96.
- ^ ماجازينيوس وآخرون. 2021 ، ص. 95.
- 1 2 ماجازينيوس وآخرون. 2021 ، ص. 100.
- ↑ ليبيكي، أبلون وويب 2015 ، ص 46-47.
- ↑ مايلارت، توماس؛ تشاو، مينغي؛ غروسكلاغز، ينس؛ تشوانغ، جون (2017). "هل جميع الثغرات سطحية إذا توفرت أعداد كافية من المُراقبين؟ إعادة النظر في أفكار إريك ريموند من خلال برامج مكافآت اكتشاف الثغرات". مجلة الأمن السيبراني . 3 (2): 81-90 . arXiv : 1608.03445 . doi : 10.1093/cybsec/tyx008 .
- ↑ غودين، دان (9 أكتوبر 2013). "جوجل تقدم جوائز نقدية "مميزة" لتحديثات لينكس وبرامج أنظمة التشغيل الأخرى" . آرس تكنيكا . تم الاطلاع عليه في 11 مارس 2014 .
- ↑ زاليفسكي، ميخال (9 أكتوبر 2013). "تجاوز مكافآت الثغرات الأمنية" . مدونة جوجل للأمن الإلكتروني . تم الاطلاع عليه في 11 مارس 2014 .
- ↑ «أطلقت جوجل برنامجًا جديدًا لمكافآت اكتشاف الثغرات الأمنية في تطبيقات الطرف الثالث على متجر جوجل بلاي» . ذا فيرج. ٢٢ أكتوبر ٢٠١٧. تم الاطلاع عليه بتاريخ ٤ يونيو ٢٠١٨ .
- ↑ "برنامج مكافآت تقييم الثغرات الأمنية" . تم الاطلاع عليه بتاريخ 23 مارس 2020 .
- ↑ غودين، دان (6 نوفمبر 2013). "الآن يوجد برنامج مكافآت لاكتشاف الثغرات الأمنية على الإنترنت بأكمله" . آرس تكنيكا . تم الاطلاع عليه في 11 مارس 2014 .
- ↑ عبد الرضا، علاء (18 مارس 2021). "كيف اخترقت فيسبوك: الجزء الثاني" . infosecwriteups . تم الاطلاع عليه في 18 مارس 2021 .
- ↑ «فيسبوك، وجيت هاب، ومؤسسة فورد تتبرع بمبلغ 300 ألف دولار لبرنامج مكافآت اكتشاف الثغرات الأمنية في البنية التحتية للإنترنت» . فينشر بيت. 21 يوليو 2017. تم الاطلاع عليه بتاريخ 4 يونيو 2018 .
- ↑ «وزارة الدفاع الأمريكية تدعو متخصصين معتمدين لاختراق البنتاغون» . وزارة الدفاع الأمريكية . مؤرشف من الأصل في 3 مارس 2016. تم الاطلاع عليه في 21 يونيو 2016 .
- ↑ "EU-FOSSA 2 - ملخص مكافآت الأخطاء" (PDF) .
- ↑ "Ministerstvo pro místní rozvoj ČR - MMR nabízí odměny za odhalení bezpečnostních děr ve جميع أنظمة تكنولوجيا المعلومات" . mmr.gov.cz (باللغة التشيكية) . تم الاسترجاع في 9 أكتوبر 2025 .
- ↑ سينها 2019 ، ص 3-4.
- ^ لاشكا وآخرون. 2016 ، ص. 161.
- ↑ لوزانو وأمير 2018 ، ص 7.
- ↑ دوتا، بايل (19 فبراير 2018). "برنامج مكافآت اكتشاف الثغرات: إصلاح 100,000 ثغرة أمنية ومعيار ISO 29147" . TechWorm . تم الاطلاع عليه في 10 أبريل 2023 .
- 1 2 3 4 ماجالهايس 2024 ، ص. 247.
- 1 2 جاكسون 2021 ، ص. 7.
- ↑ ستروت 2023 ، ص 36.
- ^ ماجالهايس 2024 ، ص 241-242.
- 1 2 ليبيكي وأبلون وويب 2015 ، ص. 44.
- ↑ ليبيكي، أبلون وويب 2015 ، ص 44، 46.
مصادر
- أبلون، ليليان؛ بوغارت، آندي (2017). أيام الصفر، آلاف الليالي: حياة وأزمنة ثغرات اليوم الصفر واستغلالها (ملف PDF) . مؤسسة راند. ISBN 978-0-8330-9761-3.
- جاكسون، جون (2021). الأمن السيبراني للشركات: تحديد المخاطر وبرنامج مكافآت اكتشاف الثغرات . جون وايلي وأولاده. ISBN 978-1-119-78252-0.
- لاسكا، آرون؛ تشاو، مينغي؛ غروسكلاغز، ينس (2016). القضاء على الحوافز غير المتوافقة للتحقق من صحة التقارير في منصات مكافآت اكتشاف الثغرات . دار نشر سبرينغر الدولية. الصفحات 161-178 . ISBN 978-3-319-45741-3.
- لازكا، آرون؛ تشاو، مينجي؛ مالباري، عكاش؛ جروسكلاغز، ينس (2018). قواعد المشاركة في برامج مكافأة الأخطاء . سبرينغر. ص 138 – 159. ISBN 978-3-662-58387-6.
- ليبيكي، مارتن سي؛ أبلون، ليليان؛ ويب، تيم (2015). معضلة المدافع: رسم مسار نحو الأمن السيبراني (ملف PDF) . مؤسسة راند. ISBN 978-0-8330-8911-3.
- لوزانو، كارلوس أ.؛ أمير، شاه مير (2018). أساسيات البحث عن مكافآت الثغرات: دليل سريع لمساعدة قراصنة القبعة البيضاء على اجتياز برامج مكافآت الثغرات . باكيت. ISBN 978-1-78883-443-8.
- ماغالهايس، جواو باولو (2024). "مكافآت اكتشاف الثغرات: الجوانب الأخلاقية والقانونية". التطورات القانونية في مجال الأمن السيبراني والمجالات ذات الصلة . دار نشر سبرينغر الدولية. الصفحات 235-250 . ISBN 978-3-031-41820-4.
- ماغازينيوس، آنا؛ ميليغارد، نيكلاس؛ أولسون، ليندا (2021). ما نعرفه عن برامج مكافآت اكتشاف الثغرات - دراسة استكشافية منهجية لرسم الخرائط . دار نشر سبرينغر الدولية. الصفحات 89-106 . ISBN 978-3-030-55958-8.
- سينها، سانجيب (2019). البحث عن الثغرات الأمنية في مواقع الويب وتطبيقاتها: اكتشاف واستغلال نقاط الضعف فيها . دار نشر أبريس. رقم ISBN 978-1-4842-5391-5.
- سود، أديتيا؛ إنبودي، ريتشارد (2014). الهجمات الإلكترونية المستهدفة: هجمات متعددة المراحل مدفوعة بالثغرات والبرمجيات الخبيثة . سينغريس. ISBN 978-0-12-800619-1.
- ستراوت، بنجامين (2023). دليل باحث الثغرات الأمنية: دليل شامل لاكتشاف الثغرات الأمنية والإبلاغ عنها ونشرها . دار نشر باكت. رقم ISBN 978-1-80324-356-6.
- الإنترنت
- الحرب السيبرانية
- المسابقات
- القرصنة (أمن الحاسوب)
