論文の概要: Merchants of Vulnerabilities: How Bug Bounty Programs Benefit Software Vendors

• arxiv url: http://arxiv.org/abs/2404.17497v1
• Date: Fri, 26 Apr 2024 15:51:59 GMT
• ステータス: 処理完了
• システム内更新日: 2024-04-29 12:35:26.101183
• Title: Merchants of Vulnerabilities: How Bug Bounty Programs Benefit Software Vendors
• Title（参考訳）: 脆弱性のマーチャント:バグ報奨金プログラムがソフトウェアベンダに相応しい方法
• Authors: Esther Gal-Or, Muhammad Zia Hydari, Rahul Telang,
• Abstract要約: 本稿では、倫理的ハッカーにソフトウェアベンダーに脆弱性を発見して責任を負うようインセンティブを与えるバグ報奨プログラム(BBP)について検討する。 ゲーム理論モデルを使用して、ソフトウェアベンダ、倫理的ハッカー、悪意のあるハッカー間の戦略的相互作用をキャプチャします。 BBPのベンダーは、より潜在的な脆弱性があるにもかかわらず、早期にソフトウェアをリリースし、BBPが協調した脆弱性の開示と緩和を可能にすることに気付きました。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Software vulnerabilities enable exploitation by malicious hackers, compromising systems and data security. This paper examines bug bounty programs (BBPs) that incentivize ethical hackers to discover and responsibly disclose vulnerabilities to software vendors. Using game-theoretic models, we capture the strategic interactions between software vendors, ethical hackers, and malicious hackers. First, our analysis shows that software vendors can increase expected profits by participating in BBPs, explaining their growing adoption and the success of BBP platforms. Second, we find that vendors with BBPs will release software earlier, albeit with more potential vulnerabilities, as BBPs enable coordinated vulnerability disclosure and mitigation. Third, the optimal number of ethical hackers to invite to a BBP depends solely on the expected number of malicious hackers seeking exploitation. This optimal number of ethical hackers is lower than but increases with the expected malicious hacker count. Finally, higher bounties incentivize ethical hackers to exert more effort, thereby increasing the probability that they will discover severe vulnerabilities first while reducing the success probability of malicious hackers. These findings highlight BBPs' potential benefits for vendors beyond profitability. Earlier software releases are enabled by managing risks through coordinated disclosure. As cybersecurity threats evolve, BBP adoption will likely gain momentum, providing vendors with a valuable tool for enhancing security posture and stakeholder trust. Moreover, BBPs envelop vulnerability identification and disclosure into new market relationships and transactions, impacting software vendors' incentives regarding product security choices like release timing.
• Abstract（参考訳）: ソフトウェア脆弱性は、悪意のあるハッカーによる搾取、システムの妥協、データセキュリティを可能にする。 本稿では、倫理的ハッカーにソフトウェアベンダーに脆弱性を発見して責任を負うようインセンティブを与えるバグ報奨プログラム(BBP)について検討する。 ゲーム理論モデルを使用して、ソフトウェアベンダ、倫理的ハッカー、悪意のあるハッカー間の戦略的相互作用をキャプチャします。 まず,ソフトウェアベンダがBBPに参加することで,BBPプラットフォームの採用拡大と,BBPプラットフォームの成功を説明することによって,期待される利益を増大させることができることを示す。 第二に、BBPのベンダーは、より潜在的な脆弱性があるにもかかわらず、早期にソフトウェアをリリースする。 第三に、BBPに招待する倫理的ハッカーの最適な数は、搾取を求める悪意のあるハッカーの予想数にのみ依存する。 この倫理的ハッカーの最適な数は、予想される悪意のあるハッカー数より少ないが、増加する。 最後に、高い報奨金は倫理的ハッカーにより多くの努力を奨励し、悪質なハッカーの成功確率を下げながら、まず深刻な脆弱性を発見する可能性を高める。 これらの調査結果は、BBPsが収益性を超えたベンダーにもたらす潜在的な利益を浮き彫りにした。 初期のソフトウェアリリースは、調整された開示を通じてリスクを管理することで有効になる。 サイバーセキュリティの脅威が進化するにつれて、BBPの採用は勢いを増し、ベンダーにセキュリティ姿勢とステークホルダー信頼を高める貴重なツールを提供するだろう。 さらに、BBPは脆弱性の識別と新たな市場関係と取引への開示を包含し、リリースタイミングのような製品セキュリティの選択に関するソフトウェアベンダのインセンティブに影響を与える。

関連論文リスト

• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
  Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。 シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。 本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
  論文  参考訳（メタデータ） (2024-05-20T08:35:39Z)
• Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
  全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。 本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-11-20T12:44:37Z)
• RatGPT: Turning online LLMs into Proxies for Malware Attacks [0.0]
  本稿では、ChatGPTが検出を回避しつつ悪意あるソフトウェアの普及に使用される概念実証について述べる。 我々はまた、検出されていないまま攻撃を成功させるために、一般的なアプローチと重要な要素を提示する。
  論文  参考訳（メタデータ） (2023-08-17T20:54:39Z)
• Understanding Hackers' Work: An Empirical Study of Offensive Security Practitioners [0.0]
  攻撃的なセキュリティテストは、潜在的な脆弱性を積極的に発見する一般的な方法である。 ホワイトハットハッカーの慢性的な欠如は、ソフトウェアの十分なセキュリティテストカバレッジを妨げている。 自動化の研究は、セキュリティテストの効率を改善することによって、この問題を緩和しようとする。
  論文  参考訳（メタデータ） (2023-08-14T10:35:26Z)
• BackdoorBox: A Python Toolbox for Backdoor Learning [67.53987387581222]
  このPythonツールボックスは、代表的で高度なバックドア攻撃と防御を実装している。 研究者や開発者は、ベンチマークやローカルデータセットで、さまざまなメソッドを簡単に実装し、比較することができる。
  論文  参考訳（メタデータ） (2023-02-01T09:45:42Z)
• Certifiers Make Neural Networks Vulnerable to Availability Attacks [70.69104148250614]
  私たちは初めて、逆転戦略が敵によって意図的に引き起こされる可能性があることを示します。 いくつかの入力や摂動のために自然に発生する障害に加えて、敵は故意にフォールバックを誘発するために訓練時間攻撃を使用することができる。 我々は2つの新しいアベイラビリティーアタックを設計し、これらの脅威の実用的妥当性を示す。
  論文  参考訳（メタデータ） (2021-08-25T15:49:10Z)
• Turn the Combination Lock: Learnable Textual Backdoor Attacks via Word Substitution [57.51117978504175]
  最近の研究では、ニューラルネットワーク処理(NLP)モデルがバックドア攻撃に弱いことが示されている。 バックドアを注入すると、モデルは通常、良質な例で実行されるが、バックドアがアクティブになったときに攻撃者が特定した予測を生成する。 単語置換の学習可能な組み合わせによって活性化される見えないバックドアを提示する。
  論文  参考訳（メタデータ） (2021-06-11T13:03:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。