Azure DevOps Bounty Program: Microsoft protegge la sua piattaforma per lo sviluppo agile
Premi da 500 a 20 mila dollari per chi scopre e documenta le vulnerabilità di Azure DevOps
L'introduzione delle metodologie di sviluppo "agile" hanno portato molti vantaggi alle imprese. Hanno però anche reso il ciclo sviluppo-test-implementazione iterativo e molto stretto, quindi più suscettibile ad errori e vulnerabilità. Gli hacker ostili hanno preso di mira diverse piattaforme usate nei processi DevOps, dando vita al nuovo ambito dei cosiddetti supply chain attack.
La risposta del mercato è stata duplice. Da un lato si è puntato con decisione a una maggiore integrazione della sicurezza nei processi di sviluppo, il che ha portato alla nascita dell'approccio DevSecOps. Dall'altro c'è oggi un maggiore sforzo per "blindare" le piattaforme usate dagli sviluppatori. Anche Microsoft ha deciso di muoversi in tal senso e ha fatto partire un "bounty program" dedicato in modo specifico ad Azure DevOps.
Azure DevOps è il complesso dei servizi cloud Microsoft destinati allo sviluppo agile, quelli che in precedenza erano noti come Visual Studio Team Services. Il nuovo Azure DevOps Bounty Program coinvolge la community dei ricercatori di sicurezza nello "scovare" eventuali vulnerabilità di tali servizi, estendendosi però anche ad Azure DevOps Server e a Team Foundation Server, due moduli che invece si installano on-premise.
Come altri bounty program, l'incentivo offerto per chi va a caccia di vulnerabilità è soprattutto economico. Microsoft offre "taglie" che vanno da 500 a ben 20 mila dollari: la cifra dipende dalla gravità del problema riscontrato e dalla qualità della segnalazione, ossia da quante informazioni contiene che siano utili al team Microsoft per identificare con precisione e riprodurre la specifica vulnerabilità.
Il programma è comunque aperto anche a chi voglia segnalare problemi meno gravi di quelli che meritano una ricompensa. Tutte le segnalazioni ricevute saranno infatti esaminate, alla ricerca di bug anche piccoli per aumentare genericamente la qualità di Azure DevOps.
La risposta del mercato è stata duplice. Da un lato si è puntato con decisione a una maggiore integrazione della sicurezza nei processi di sviluppo, il che ha portato alla nascita dell'approccio DevSecOps. Dall'altro c'è oggi un maggiore sforzo per "blindare" le piattaforme usate dagli sviluppatori. Anche Microsoft ha deciso di muoversi in tal senso e ha fatto partire un "bounty program" dedicato in modo specifico ad Azure DevOps.
Azure DevOps è il complesso dei servizi cloud Microsoft destinati allo sviluppo agile, quelli che in precedenza erano noti come Visual Studio Team Services. Il nuovo Azure DevOps Bounty Program coinvolge la community dei ricercatori di sicurezza nello "scovare" eventuali vulnerabilità di tali servizi, estendendosi però anche ad Azure DevOps Server e a Team Foundation Server, due moduli che invece si installano on-premise.
Come altri bounty program, l'incentivo offerto per chi va a caccia di vulnerabilità è soprattutto economico. Microsoft offre "taglie" che vanno da 500 a ben 20 mila dollari: la cifra dipende dalla gravità del problema riscontrato e dalla qualità della segnalazione, ossia da quante informazioni contiene che siano utili al team Microsoft per identificare con precisione e riprodurre la specifica vulnerabilità.
Il programma è comunque aperto anche a chi voglia segnalare problemi meno gravi di quelli che meritano una ricompensa. Tutte le segnalazioni ricevute saranno infatti esaminate, alla ricerca di bug anche piccoli per aumentare genericamente la qualità di Azure DevOps.
Notizie correlate
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
