Adobe, il cui codice è tormentato da falle in misura proporzionale alla popolarità dei prodotti offerti, ha aperto un canale di comunicazione con i cacciatori di bug: sarà ora possibile segnalare una vulnerabilità he affligga la applicazioni web in maniera più immediata, così che Adobe provveda tempestivamente alla sua risoluzione.
Il programma di Adobe si appoggia alla nota piattaforma HackerOne, che supporta le aziende nella classificazione e nella validazione dei bug segnalati dagli utenti, e che permette agli utenti di costruirsi una reputazione certificata quali attenti bug hunter.
Le regole del programma di sicurezza sono enumerate sulla pagina dedicata : Adobe incoraggia la disclosure responsabile di vulnerabilità XSS e CSRF, di vulnerabilità di classe directory traversal, di falle che agevolino l’injection di codice e l’esecuzione di codice server-side, di problemi a livello di autenticazione o di configurazioni di sicurezza, di fughe di informazioni. I ricercatori sono invitati a comunicare in maniera chiara e concisa le indicazioni per riprodurre il problema, affinché il team di Adobe dedicato alla sicurezza possa analizzarlo: il riconoscimento spetta a coloro che per primi segnalino un problema e che, prima di prodursi in una disclosure pubblica, garantiscano all’azienda “il tempo ragionevole” utile a risolverlo.
A differenza delle iniziative di altre aziende, da Google a Microsoft , da Facebook a Twitter , passando per Mozilla e Yahoo , che in varia misura ricompensano i ricercatori per il contributo fornito, il programma di Adobe non prevede alcuna compensazione monetaria: l’unica promessa ad incoraggiare i ricercatori è “l’aumento della propria reputazione su HackerOne”, e naturalmente l’orgoglio di aver contribuito ad un codice più sicuro per sé e per gli altri utenti.
Gaia Bottà