2017.08.27-én a DJI, a világ első számú, a civil szféra számára drón és légi-fotós technológiákat forgalmazó vállalata megalapította a bug bounty programját, egy olyan programot, melyben jutalmazza azokat a szakembereket, akik biztonsági hibákat találnak a cég termékeiben futó szoftverekben. A DJI Fenyegetés Azonosítás Jutalom Program elnevezésű program része a DJI elkötelezettségének a kutatók és egyék érdeklődők számára, akik felelősségteljesen fednek fel, jelentik be illetve kijavítanak olyan hibákat, melyek a DJI termékek biztonságát befolyásolhatják.
A biztonsággal foglalkozó kutatók, független szakértők gyakran biztosítanak értékes segítséget azáltal, hogy elemzik a DJI szoftvereiben levő kódokat, és hozzák nyilvánosságra az azokban felfedezett problémákat – mondta el Walter Stockwell, a DJI technikai sztenderdekért felelős Igazgatója.
„A DJI tanulni szeretne a tapasztalataikból, hiszen folyamatosan azon dolgozunk, hogy javítsunk termékeinken és készek vagyunk díjat fizetni azokért a felfedezésekért, amiket ezek a szakértő tesznek.”
A DJI Fenyegetés Azonosítás Jutalom Program célja, hogy összegyűjtse a kutatók által felfedezett problémákat, melyek fenyegetést jelenthetnek a felhasználók privát adatinak védelmére, a képek adataira, a videók és repülési logokra, melyeket a felhasználók készítenek. A program célja ezen felül, hogy azonosítsa az olyan problémákat, melyek esetlegesen érintik az alkalmazások lefagyását, érinthetik a repülések biztonságát, – ilyen például a DJI Geofencing tiltása is (egy szoftveres védelem, mely egy tiltott terület körül mintegy virtuális kerítést készít, ahová a légi jármű akkor sem lép be, ha azt az irányítója szándékosan szeretné berepíteni). További ilyen téma lehet a repülési magasság limitek és egyéb áramellátási kérdések vizsgálata is.
A jutalmazás azon felfedezések esetében, melyek megfelelnek a kiírásnak, 100 – 30.000 USA dollár között lehet, attól függően, hogy a potenciális hiba milyen súlyú, mennyire veszélyes. A DJI elkészít egy weboldalt, melyen a program feltételei, standardizált hibabejelentési lehetőségi is elhelyezésre kerülnek, mind a DJI szerverei, alkalmazásai, hardvereire vonatkozóan.
Mai naptól a bug riportok a bogbounty@dji.com mail címen is beküldhetők a DJI szakemberei számára.
Erre a lépésre azért is volt szükség, mert a a DJI egy megújult fókusszal fordul a biztonságot érintő kérdések felé, és jobb együttműködést keres a kutatókkal ezen a területen. További fejlemény, hogy a DJI egy többlépcsős belső ellenőrzési és jóváhagyási folyamatot is bevezet az új szoftverek kapcsán, hogy azok kiadása előtt a lehető legtöbb hibát felfedezzék és javítsák, így biztonságosabb, megbízhatóbb és stabilabb szoftverek kerülnek majd a felhasználók kezeibe.
Korábban nem volt formális kommunikációs kapcsolat a kutatók és a vállalat között, ezért sokuk valamilyen közösségi média felületen hívta fel a figyelmet a felmerült technikai problémára mivel nem volt egyértelmű, hogyan jelezheti a gyártó számára a vizsgálatainak, kutatásainak eredményét.
“Együtt kívánunk működni a kutatókkal és reagálni szeretnénk a rendkívül értékes visszajelzéseikre, hiszen közös célunk az együttműködés és a javítás” – mondta el Stockwell.
„Nagyra értékeljük ezeket a javaslatokat a kutatók részéről akik hisznek a mi küldetésünkben is, hogy a felhasználókat a lehető legjobb, stabilan működő és megbízható DJI termékekkel lássuk el.”
További infók:
http://www.dji.com/newsroom/news/dji-to-offer-bug-bounty-rewards-for-reporting-software-issues