Ini adalah kesenangan saya untuk secara resmi mengumumkan program Avast bug karunia baru. Sebagai sebuah perusahaan keamanan, kami sangat menyadari bahwa keamanan bug dalam perangkat lunak adalah kenyataan. Tapi kami juga menyadari bahwa perusahaan-perusahaan yang mampu menggunakan komunitas pengguna mereka untuk menemukan dan memperbaiki bug umumnya lebih sukses bahwa mereka yang tidak. Oleh karena itu, kami telah memutuskan untuk memberikan penghargaan kepada individu yang membantu kita menemukan dan memperbaiki bug yang berkaitan dengan keamanan dalam perangkat lunak kita sendiri. Hal ini membuat kita mungkin vendor keamanan pertama dengan program hadiah seperti ini: Saya pikir itu terutama karena perusahaan lain pada umumnya mengambil posisi bahwa 'Hei, kami sebuah perusahaan keamanan. Jadi kita tahu keamanan dan tidak bisa terjadi pada kita "Tapi. Pada kenyataannya, itu bukan apa yang terjadi. Hanya melihat bugtraq atau database CVE dan Anda akan menemukan bahwa perangkat lunak keamanan tidak lebih kebal terhadap masalah ini daripada program lain. Sedikit ironi, mengingat bahwa orang pada umumnya menginstal perangkat lunak keamanan untuk memerangi masalah keamanan di tempat pertama, bukan?
Kami di Avast mengambil ini sangat serius. Kita tahu bahwa menjadi pemimpin pasar (Avast memiliki lebih banyak pengguna daripada perusahaan AV lain di dunia), kita target yang sangat menarik bagi para penyerang. Jadi, inilah panggilan kita untuk bertindak: mari kita bersatu dan menemukan dan memperbaiki bug tersebut sebelum orang-orang jahat lakukan!
Berikut adalah cara kerjanya:
- Program ini dirancang untuk karunia yang berhubungan dengan keamanan bug saja. Maaf, kami tidak membayar untuk jenis lain seperti isu-isu bug di UI, lokalisasi dll (namun, jika Anda menemukan bug tersebut, kita tentu akan sangat menghargai jika Anda melaporkannya).
- Program ini saat ini hanya ditujukan untuk produk kami, yaitu tidak website dll
- Kami umumnya hanya tertarik pada jenis bug (dalam urutan kepentingan):
- Kode remote eksekusi. Ini adalah bug yang paling penting.
- Lokal hak istimewa eskalasi. Artinya, menggunakan Avast untuk misalnya mendapatkan hak admin dari account non-admin.
- Denial-of-service (DoS). Dalam kasus Avast, yang biasanya akan BSODs atau crash dari proses AvastSvc.exe.
- Escapes dari avast! Sandbox (via bug dalam kode kami)
- Scanner tertentu bypasses. Ini termasuk termasuk langsung, bypasses jelas (skenario yaitu yang menyebabkan infeksi langsung, tanpa input pengguna tambahan), sebagai lawan dari hal-hal seperti kekurangan dalam mesin dll membongkar Dengan kata lain, kita hanya tertarik pada kasus yang tidak dapat dikurangi dengan menambahkan definisi virus baru (jangan melaporkan malware terdeteksi)
- Bug lain dengan implikasi keamanan serius (akan dipertimbangkan berdasarkan kasus per kasus).
- Pembayaran dasar adalah $ 200 per bug. Tergantung pada kekritisan bug (serta kerapian nya) karunia akan pergi jauh lebih tinggi (bug masing-masing akan dinilai secara independen oleh sebuah panel ahli). Bug kode jauh eksekusi akan membayar setidaknya $ 3.000 - $ 5.000 atau lebih.
- Kita mungkin mengubah rentang didasarkan pada jumlah dan kualitas laporan yang masuk. Umumnya, laporan kurang kita akan mendapatkan, semakin tinggi karunia akan pergi.
- Kami hanya akan membayar untuk bug di Avast sendiri. Misalnya, jika Anda menemukan bug di perpustakaan Microsoft (bahkan jika itu digunakan oleh Avast), tolong laporkan kepada Microsoft sebagai gantinya (akan lebih bagus jika Anda juga bisa memberitahu kami, tapi sayangnya, kita tidak dapat menawarkan hadiah dalam kasus tersebut ).
- Program ini saat ini terbatas pada versi konsumen Windows Avast (yaitu: Avast Free Antivirus, Avast Antivirus Pro, dan Avast Internet Security). Hanya bug dalam versi terbaru dari pengiriman produk ini akan dipertimbangkan.
- Pembayaran akan dilakukan sebaiknya dengan PayPal. Jika Anda tidak dapat menerima PayPal (misalnya karena tidak bekerja di negara Anda), silakan menghubungi kami dan kami akan mencoba untuk mencari tahu sesuatu yang lain.
- Karena pembatasan hukum tertentu, kami tidak dapat menerima pengajuan dari negara-negara berikut: Iran, Suriah, Kuba, Korea Utara dan Sudan.
- Ini adalah tanggung jawab peneliti sendiri untuk membayar pajak dan biaya lainnya di negara tempat tinggal mereka.
- Dalam rangka memenuhi persyaratan untuk karunia, bug harus asli dan sebelumnya tidak dilaporkan.
- Jika dua atau lebih peneliti kebetulan menemukan bug yang sama, karunia akan dibayarkan hanya untuk satu yang penyerahan datang pertama.
- Anda tidak harus secara terbuka mengungkapkan bug sampai setelah versi terbaru dari Avast bahwa perbaikan bug dilepaskan. Jika tidak, karunia tidak akan dibayar.
- Karunia akan dibayar hanya setelah kami memperbaiki masalah (atau, dalam kasus-kasus tertentu, memutuskan untuk tidak memperbaikinya).
- Beberapa bug mungkin memakan waktu lebih lama untuk memperbaiki. Kami akan melakukan yang terbaik untuk memperbaiki bug kritis secara tepat waktu. Kami menghargai kesabaran Anda.
- Karyawan AVAST dan kerabat dekat mereka (orang tua, saudara, anak, atau pasangan) dan mitra bisnis AVAST, lembaga, distributor, dan karyawan mereka dikecualikan dari program ini.
- Kami berhak untuk mengubah aturan program atau membatalkannya setiap saat.
Cara melaporkan bug dan memenuhi syarat untuk karunia:
- Harap kirimkan bug ke alamat email khusus bugs@avast.com
- Jika Anda ingin mengenkripsi email Anda (disarankan), silakan gunakan ini kunci PGP.
- Sebuah laporan bug yang baik harus berisi informasi yang cukup untuk andal mereproduksi bug di pihak kita. Harap sertakan semua informasi yang mungkin relevan - lingkungan yang tepat Anda, deskripsi rinci bug, kode contoh (jika ada) dll juga harus berisi analisis yang layak - ini adalah program yang dirancang bagi para peneliti keamanan dan pengembang perangkat lunak dan kami mengharapkan kualitas tertentu tingkat.
- Anda akan menerima respon dari penerimaan anggota tim mengakui Avast email Anda, biasanya dalam waktu 24 jam. Jika Anda tidak menerima jawaban, jangan menganggap kita mengabaikan Anda - kami akan melakukan yang terbaik untuk menindaklanjuti dengan Anda sesegera mungkin. Juga, dalam kasus seperti itu mungkin email Anda tidak membuatnya melalui filter spam.
Akhirnya, saya ingin mengucapkan terima kasih kepada semua orang yang membantu untuk menemukan dan memperbaiki bug dalam produk kami. Mudah-mudahan, ini program hadiah baru akan mengambil inisiatif ini ke tingkat yang baru.
Bahagia [bug] berburu!
P.S. Aturan bug karunia juga tersedia di website utama kami di sini.
