سوالات متداول سازمان ها
  • سایت کلاه سفید چیست؟

  • سایت کلاه سفید رابطی است بین سازمان‌ها و صاحبان وب‌سایت‌ها از یک طرف و متخصصین امنیتی و هکرهای کلاه‌سفید از سوی دیگر. در کلاه سفید، سازمان‌ها می‌توانند مسابقاتی برای کشف باگ و آسیب پذیری های امنیتی تعریف کنند و متخصصین و هکرهای کلاه سفید می توانند در این مسابقات شرکت و با گزارش باگ و آسیب پذیری های امنیتی جایزه دریافت کنند.


  • آیا چنین سامانه‌ای نمونه خارجی دارد؟

  • بله. در دنیا مسابقاتی به عنوان Bug Bounty برگزار می شود که شرکت های بزرگی مانند Google و Facebook متولی آن هستند. در این مسابقات به متخصصین و هکرهای کلاه سفید در ازای کشف باگ جوایزی پرداخت می‌شود.


  • کلاه سفید را چه کسانی اداره می کنند؟

  • کلاه سفید پروژه‌ای است که توسط جمعی از متخصصین فنی و دانشگاهی شکل گرفته و هدف آن‌ها کمک به سازمان‌ها برای کشف باگ‌ها و ایمن‌سازی سامانه‌های خود است.


  • برگزاری مسابقه کشف باگ در کلاه سفید برای یک مدیر سایت یا مدیر فنی یک سازمان چه مزیتی دارد؟

    • با استفاده از کلاه سفید مدیران سایت‌ها می‌توانند از باگ‌‌ها و مشکلات امنیتی سایت خود آگاه شوند.
    • پرداخت هزینه تنها در صورت کشف باگ صورت می گیرد.
    • متخصصین کلاه سفید باگ‌های گزارش شده را ارزیابی وصحت سنجی کرده و نتایج آن را به مدیران فنی سازمان‌ها ارائه می‌دهند.
    • سامانه هدف توسط طیف وسیعی از متخصصین امنیتی کلاه سفید مورد ارزیابی قرار می گیرد و شما دیگر محدود به یک یا چند تیم ارزیابی امنیتی مشخص نیستید.

  • مراحل کلی جهت برگزاری مسابقه کشف باگ به چه نحو است؟

    • ثبت نام سازمان یا متقاضی ارزیابی امنیتی در سامانه کلاه سفید
    • اعتبارسنجی سازمان توسط کلاه سفید
    • آماده کردن جزئیات و شرایط مسابقه توسط سازمان با همکاری کلاه سفید
    • عقد قرارداد و انجام امور اداری/حقوقی
    • پرداخت ودیعه برگزاری مسابقه و شروع مسابقه
    • گزارش باگ توسط متخصصین و ارزیابی آنها توسط کلاه سفید
    • پرداخت به متخصصین با تایید سازمان

  • هزینه‌های برگزاری مسابقه کشف باگ در کلاه سفید به چه نحو است؟

  • هزینه مشاوره و راه‌اندازی مسابقه 2 میلیون تومان می باشد که سازمان پیش از آغاز مسابقه پرداخت می کند. هزینه داوری و ارزش گذاری جوایز براساس اعتبار جوایز مسابقه در نظر گرفته می شود که بصورت ذیل است:

    اعتبار جوایز مسابقه هزینه داوری
    تا 20 میلیون تومان 20 درصد مبلغ کل جوایز
    بین 20 تا 50 میلیون تومان 17 درصد مبلغ کل جوایز
    بالای 50 میلیون تومان 15 درصد مبلغ کل جوایز

    از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت می‌شود.


  • آیا باگ‌های گزارش شده برای یک مسابقه، پیش از تایید کلاه‌سفید، برای سازمان نیز قابل مشاهده است؟

  • بله. کلیه گزارش‌های ارسالی توسط متخصصین و هکرهای کلاه سفید و همچنین مکاتبات صورت گرفته، در پنل کاربری سازمان که در اختیار رابط فنی سازمان است قابل مشاهده است.


  • رقم جایزه پرداختی به ازای هر باگ چقدر است؟

  • این رقم کاملاً وابسته به نوع باگ و حساسیت آن از نظر سازمان شماست. رقم پرداختی به ازای باگ‌های مختلف در هنگام تعریف مسابقه می‌تواند مشخص شود. متخصصین کلاه سفید در این زمینه به مدیران فنی سایتها مشورت‌های لازم را می دهند.