سوالات متداول سازمان ها
  • سایت کلاه سفید چیست؟

  • سایت کلاه سفید رابطی است بین سازمان‌ها و صاحبان وب‌سایت‌ها از یک طرف و متخصصین امنیتی و هکرهای کلاه‌سفید از سوی دیگر. در کلاه سفید، سازمان‌ها می‌توانند مسابقاتی برای کشف باگ و آسیب پذیری های امنیتی تعریف کنند و متخصصین و هکرهای کلاه سفید می توانند در این مسابقات شرکت و با گزارش باگ و آسیب پذیری های امنیتی جایزه دریافت کنند.


  • آیا چنین سامانه‌ای نمونه خارجی دارد؟

  • بله. در دنیا مسابقاتی به عنوان Bug Bounty برگزار می شود که شرکت های بزرگی مانند Google و Facebook متولی آن هستند. در این مسابقات به متخصصین و هکرهای کلاه سفید در ازای کشف باگ جوایزی پرداخت می‌شود.


  • کلاه سفید را چه کسانی اداره می کنند؟

  • کلاه سفید پروژه‌ای است که توسط جمعی از متخصصین فنی و دانشگاهی شکل گرفته و هدف آن‌ها کمک به سازمان‌ها برای کشف باگ‌ها و ایمن‌سازی سامانه‌های خود است.


  • برگزاری مسابقه کشف باگ در کلاه سفید برای یک مدیر سایت یا مدیر فنی یک سازمان چه مزیتی دارد؟

    • با استفاده از کلاه سفید مدیران سایت‌ها می‌توانند از باگ‌‌ها و مشکلات امنیتی سایت خود آگاه شوند.
    • پرداخت هزینه تنها در صورت کشف باگ صورت می گیرد.
    • متخصصین کلاه سفید باگ‌های گزارش شده را ارزیابی وصحت سنجی کرده و نتایج آن را به مدیران فنی سازمان‌ها ارائه می‌دهند.
    • سامانه هدف توسط طیف وسیعی از متخصصین امنیتی کلاه سفید مورد ارزیابی قرار می گیرد و شما دیگر محدود به یک یا چند تیم ارزیابی امنیتی مشخص نیستید.

  • مراحل کلی جهت برگزاری مسابقه کشف باگ به چه نحو است؟

    • ثبت نام سازمان یا متقاضی ارزیابی امنیتی در سامانه کلاه سفید
    • اعتبارسنجی سازمان توسط کلاه سفید
    • آماده کردن جزئیات و شرایط مسابقه توسط سازمان با همکاری کلاه سفید
    • عقد قرارداد و انجام امور اداری/حقوقی
    • پرداخت ودیعه برگزاری مسابقه و شروع مسابقه
    • گزارش باگ توسط متخصصین و ارزیابی آنها توسط کلاه سفید
    • پرداخت به متخصصین با تایید سازمان

  • هزینه‌های برگزاری مسابقه کشف باگ در کلاه سفید به چه نحو است؟

  • برگزارکننده مسابقه تعهد می‌نمایند که هزینه برگزاری مسابقه را با توجه به روش پرداخت انتخابی پرداخت نمایند. 3 روش پرداخت در حال حاضر برای سامانه کلاه سفید در نظر گرفته شده است:

    روش 1 (طلایی)

    • سازمان پیش از آغاز مسابقه کل مبلغ جوایز اهدایی را پرداخت می‌کند.
    • 10% از کل مبلغ بعنوان کارمزد برگزاری مسابقه کسر و 90% مبلغ بعنوان اعتبار جوایز مسابقه در نظر گرفته می‌شود.
    • از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت می‌شود. پس از طی شدن زمان مسابقه، اعتبار باقیمانده در حساب سازمان باقی مانده و می‌تواند در مسابقه بعدی مورد استفاده قرار بگیرد یا کل مبلغ باقیمانده به سازمان مسترد شود.

    روش 2 (نقره‌ای)

    • سازمان پیش از آغاز مسابقه 50% کل مبلغ جوایز اهدایی را پرداخت می‌کند.
    • 18% از کل مبلغ به عنوان کارمزد برگزاری مسابقه کسر و 82% مبلغ پرداختی به عنوان اعتبار جوایز مسابقه در نظر گرفته می‌شود.
    • از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت می‌شود. پس از طی شدن زمان مسابقه، اعتبار باقیمانده در حساب سازمان باقی‌مانده و می‌تواند در مسابقه بعدی مورد استفاده قرار بگیرد. در صورت درخواست سازمان 50% مبلغ اعتبار می‌تواند به سازمان مسترد شود و مابقی در حساب سازمان باقی می‌ماند.

    روش 3 (برنزی)

    • سازمان پیش از آغاز مسابقه 25% کل مبلغ جوایز اهدایی را پرداخت می‌کند.
    • 25% از کل مبلغ به عنوان کارمزد برگزاری مسابقه کسر و 75% مبلغ پرداختی به عنوان اعتبار جوایز مسابقه در نظر گرفته می‌شود.
    • از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت می‌شود. پس از طی شدن زمان مسابقه، اعتبار باقیمانده در حساب سازمان باقی‌مانده و می‌تواند در مسابقه بعدی مورد استفاده قرار بگیرد. در این حالت اعتبار سازمان غیرقابل استرداد است.

  • آیا باگ‌های گزارش شده برای یک مسابقه، پیش از تایید کلاه‌سفید، برای سازمان نیز قابل مشاهده است؟

  • بله. کلیه گزارش‌های ارسالی توسط متخصصین و هکرهای کلاه سفید و همچنین مکاتبات صورت گرفته، در پنل کاربری سازمان که در اختیار رابط فنی سازمان است قابل مشاهده است.


  • رقم جایزه پرداختی به ازای هر باگ چقدر است؟

  • این رقم کاملاً وابسته به نوع باگ و حساسیت آن از نظر سازمان شماست. رقم پرداختی به ازای باگ‌های مختلف در هنگام تعریف مسابقه می‌تواند مشخص شود. متخصصین کلاه سفید در این زمینه به مدیران فنی سایتها مشورت‌های لازم را می دهند.