09.10.2020
Vulnerability Disclosure Policy
YesWeHack stellt neuen VDP-Service bereit
Autor: Bernhard Lauer
yeswehack.com
Die europäische Bug-Bounty-Plattform YesWeHack unterstützt Unternehmen bei allen Schritten, die für eine Vulnerability Disclosure Policy (VDP) nötig sind.
Der neue Service von YesWeHack beinhaltet unter anderem eine Beratung zum Inhalt der VDP, Unterstützung beim Erstellen einer VDP-Website sowie das Strukturieren eigereichter Berichte. Unternehmen profitieren von qualitativ hochwertigeren Berichten zu Sicherheitsschwachstellen, der Reduktion irrelevanter Berichte sowie einem geringeren Aufwand beim internen Schwachstellenmanagement.
Nicht nur kriminelle Hacker sind im Web unterwegs. Auch ethische Hacker sind auf der Suche nach Schwachstellen, um diese dem Unternehmen direkt zu melden und so einem Angriff vorzubeugen. Hat ein Unternehmen keine VDP, weiß der Hacker nicht, wo und wie Schwachstellen gemeldet werden sollen. Da solche unkoordinierten Schwachstellenmeldungen in der Vergangenheit oft als Angriffsversuch missverstanden wurden, nehmen viele ethische Hacker das Risiko einer Schwachstellenmeldung nicht auf sich, wenn es keine ausgewiesene VDP gibt. Unternehmen entgehen so wesentliche Hinweise für ihr Sicherheitsmanagement.
Eine VDP bietet einen rechtlich sicheren, strukturierten Rahmen, um Schwachstellen auf der Website, in Produkten oder Dienstleistungen eines Unternehmens zu melden. Sie stellt sicher, dass die meldenden Personen rechtlich abgesichert sind. Zudem steht eine VDP für das Engagement eines Unternehmens, seine Sicherheit auch von außen überprüfen zu lassen – ein positives Signal für Partner und Kunden, die Wert auf Sicherheit legen.
VDP ist passiver Ansatz, Bug-Bounty proaktiv
Eine VDP ist ein passiver Ansatz: Sie bietet einen sicheren Kommunikationskanal für jeden, der in guter Absicht einen Fehler melden möchte. Die Belohnung ist ein herzliches "Danke". Im Gegensatz dazu ist Bug-Bounty ein proaktiver Ansatz: Unternehmen laden ethische Hacker ein, Schwachstellen nach streng definierten Regeln zu identifizieren und zu melden. Dafür erhalten diese dann eine vorher festgelegte, finanzielle Vergütung.
Das mit YesWeHack erstellte VDP-Programm soll Verwechslungen vorbeugen: Es wird auf der Website des Unternehmens veröffentlicht, eine Verwechslung mit Bug Bounty Programmen ist damit ausgeschlossen. Hacker sehen auf einen Blick, dass es sich um eine unentgeltliche Möglichkeit der Schwachstellenmeldung handelt.
Mehr Informationen zum den VDP-Services und der Verfügbarkeit für interessierte Unternehmen gibt es auf der Website und auf dem YouTube-Channel von YesWeHack.
Connectivity-as-a-Service
ADN und DE-CIX schließen Partnerschaft
ADN hat einen neuen Kooperationsvertrag mit DE-CIX unterzeichnet. Der Anbieter stellt die physische Infrastruktur und Connectivity-Services bereit, mit denen Partner den Datenverkehr von Unternehmenskunden sicher routen können.
>>
Couchbase
Datenbank-Skills für KI-Apps
Daten sind gleichzeitig Motor und Treibstoff bei der Entwicklung und dem Betrieb von KI-Anwendungen. Entsprechend zentral ist die Rolle der Datenbank. Datenbank-Anbieter Couchbase erklärt, welche Skills eine KI-taugliche Datenbank mitbringen muss.
>>
Infragistics
Angular Apps - Daten binden und anzeigen
Infragistics Professional 23.2 enthält ein leistungsstarkes Angular-Datenraster, mit dem Ihre Anwendung Datensätze jeder Größe verarbeiten kann.
>>
Europa Park
ASVG blickt auf eine erfolgreiche Hausmesse zurück
Der Telekom Distributor begrüßte zur Hausmesse viele Partner aus Handel und Industrie im Europa Park Rust und verlieh dort etliche Auszeichnungen.
>>