Sollten Unternehmen Mitarbeiter für verantwortungsvolle Offenlegungen bezahlen?

Ich habe kürzlich in meiner Freizeit eine große Sicherheitslücke (SQL-Injection) in einem meiner Firmenprojekte entdeckt. Ich arbeite dort als Entwickler, nicht als Sicherheitsforscher, aber nachdem ich viel entwickelt habe, weißt du, wo du nach Schwachstellen suchen musst :)

Da es sich um ein großes Unternehmen handelt, arbeite ich nicht wirklich an dem gefährdeten Projekt, und niemand, den ich kenne, arbeitet daran.

Um die Schwachstelle zu melden, habe ich das öffentlich zugängliche „Responsible Disclosure“-Programm verwendet. Es ist im Grunde eine Möglichkeit, eine Schwachstelle zu melden, ihnen eine angemessene Zeit zu geben, sie zu beheben und dafür anerkannt zu werden. Mir sind keine anderen Prozesse innerhalb des Unternehmens bekannt, um Schwachstellen zu melden.

Ich war jedoch überrascht festzustellen, dass Mitarbeiter vom „Programm zur verantwortungsvollen Offenlegung“ in Bezug auf die Belohnung ausgeschlossen sind (d. h. auf der Website des Offenlegungsprogramms als Beitragender aufgeführt zu werden und/oder eine finanzielle Entschädigung zu erhalten).

Einerseits kann es zu Interessenkonflikten kommen. Mitarbeiter, die an Projekten arbeiten, könnten absichtlich Sicherheitslücken hinzufügen, um später die Belohnung einzufordern, oder sich mit Kollegen dazu verschwören. Und es ist wahrscheinlich im besten Interesse des Mitarbeiters, Sicherheitsprobleme zu melden, da diese den Ruf des Unternehmens beeinträchtigen und im schlimmsten Fall sogar seinen Job kosten können.

Andererseits spielt es keine Rolle, wo der Mitarbeiter arbeitet, wenn die Schwachstelle außerhalb der Uhr entdeckt wird. Belohnungen könnten Mitarbeiter ermutigen, außerhalb der Uhr nach Schwachstellen zu suchen, was dem Unternehmen zugute kommt, indem es Sicherheitsprobleme beseitigt und nur für die Recherche bezahlt, wenn tatsächliche Probleme gefunden werden. Mitarbeiter suchen möglicherweise auch eher nach Sicherheitsproblemen bei anderen Unternehmen, die Erkenntnisse belohnen.

Ich beschwere mich nicht darüber, dass ich nicht belohnt wurde. Ich suche gerne nach Sicherheitsproblemen und es hat schon Spaß gemacht und meine Arbeit ist großartig. Aber ich versuche zu verstehen, was hinter dieser Politik steckt und ob das in der Branche üblich ist.

Ich könnte mir vorstellen, dass es an der jeweiligen Firma liegt
@Kilisi Es liegt in der Tat an der Firma. Sie können Richtlinien erstellen, wie sie es für richtig halten. Wollte nur mal sehen ob das üblich und sinnvoll ist.
An den meisten Orten wird das Finden von Fehlern als Ihre Aufgabe angesehen, wenn Sie ein Softwareentwickler sind. Wenn der Koch in der Kantine des Unternehmens eine Sicherheitslücke findet, erhält er viel eher eine Belohnung.
@ gnasher729 Stimmt in der Tat.
Wenn Sie ein Angestellter sind, haben Sie wahrscheinlich Zugriff auf ein Bug-Tracking-System. Verwenden Sie das nächste Mal das anstelle eines öffentlich zugänglichen Meldesystems. Auf diese Weise werden Sie von diesem Team als fähig anerkannt, wichtige Fehler zu melden.

Antworten (2)

Die allgemeine Richtlinie lautet: _ nein, _ Unternehmen zahlen keine Mitarbeiter für das Finden von Fehlern, da einige Idioten dies als Ermutigung zum Erstellen von Fehlern ansehen, die sie später "finden" und die Belohnung dafür einfordern können.

Das Finden und Beheben von Fehlern gehört einfach zu Ihrem Job. Sie werden bereits für diese Zeit bezahlt.

Wenn Sie wirklich das Bedürfnis haben, dafür belohnt zu werden, denken Sie daran, dass das Erkennen und Beheben eines schwerwiegenden Problems auf Ihrer Jahresendbewertung wunderbar aussehen wird.

Wie gesagt, ich hatte nicht wirklich damit gerechnet, dafür belohnt zu werden, ich wollte nur sehen, ob das normal ist. Ich arbeite jedoch nicht an dem Projekt, werde nicht an der Fehlerbehebung beteiligt sein und dies wird sich nicht in meiner Bewertung widerspiegeln. Ein guter Punkt, um Fehler zu erstellen, um sie zu finden.
In der Tat eine gute Antwort, akzeptiert. Das ist einfach ein zu großer Interessenkonflikt und ich werde bereits dafür bezahlt, Fehler zu finden. Vielen Dank für Ihre Bestätigung, ich habe von Anfang an in die Richtung gedacht, wollte aber nur sicher sein (vielleicht werde ich eines Tages ein Unternehmen leiten und muss eine solche Angelegenheit entscheiden)
Um diese Antwort zu ergänzen, müsste nicht einmal jemand entscheiden, Fehler zu ERSTELLEN, damit dies zu einem Problem wird ... es würde auch einen Anreiz schaffen, die Fehler zu ignorieren, die Sie finden, während Sie auf der Uhr sind, und dann so tun, als hätten Sie sie gefunden später aus der Uhr. Warum ein Problem so schnell wie möglich ankündigen oder es sofort beheben, während Sie arbeiten, wenn Sie mehr dafür bezahlt bekommen können, dass Sie es außerhalb der Uhr gefunden haben?

Nicht für eigene Produkte, aber es ist schön, wenn es anders ist.

Nicht in eigenen Softwareprodukten, denn für deren Pflege werden die Mitarbeiter bereits bezahlt. Selbst wenn der Mitarbeiter aus einer Abteilung stammt, die das Produkt nicht direkt entwickelt, wird erwartet, dass sein Beitrag (nicht nur Vorschläge, sondern auch das Melden von Problemen) nicht bezahlt wird.

Aber es ist schön , wenn sie das Melden anderer Sicherheitslücken belohnen. Auf diese Weise motivieren sie den proaktiven Umgang der Bevölkerung mit Sicherheitsfragen. Vielleicht verdienen nicht alle verantwortungsvollen Offenlegungen eine Belohnung, aber Sicherheitsoffenlegungen tun dies oft. Nehmen wir zum Beispiel an, dass ein Mitarbeiter versehentlich einen relativ einfachen Weg findet, auf Informationen zuzugreifen, die im HR-System des Unternehmens gespeichert sind, das von einem intern bereitgestellten Softwareprodukt eines Drittanbieters unterstützt wird, und dies ohne Verzögerungen meldet. Ich habe solche Dinge gesehen, zum Beispiel nach dem Upgrade. Durch eine frühzeitige Warnung kann der Mitarbeiter dem Unternehmen viel Ärger ersparen. (Ihre Bedenken sind: Vielleicht könnte ein anderer Mitarbeiter es finden, ohne es zu melden, und es möglicherweise missbrauchen.) Dann kann der Vorgesetzte des Mitarbeiters oder die Abteilung, die für die Sicherheit dieses Programms verantwortlich ist, über einen Anreiz entscheiden. Entweder direkt (etwas Geld) oder zumindest indirekt (hey, wir

Sollten Unternehmen Mitarbeiter für verantwortungsvolle Offenlegungen bezahlen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v