
داستان پیوستن به برنامه باگ بانتی راورو
#امنیت همیشه برای ما مهم بوده و تلاش کردیم که از نظر جنبههای مختلف اون رو توی جیبرس تامین کنیم. البته هر برنامهنویسی میدونه که همه فناوریها دارای اشکال و #باگ هستند که میتونن منجر به #آسیبپذیری یک سیستم بشن. بعضی از آسیبپذیریها دارای شدت کم هستن و برخی میتونن بحرانی باشن. برخی میتونن توی چند دقیقه کشف بشن و برای برخی نیاز به ماهها تلاش وجود داره.
چند ماهی هست که برنامه گزارش باگ جیبرس رو راه انداختیم تا راهی را برای گزارش باگهای #جیبرس بهوجود بیاریم. در کنار اون بهازای گزارشها هم در حد توان هدیهای نقدی که به #باگبانتی معروف است پرداخت میکنیم. از اونجایی که صفحه گزارش باگ ما توی جستجوهای انگلیسی رشد کرد چند صد هکر خارجی تاحالا روی جیبرس تحقیق و بررسی داشتند و تا اینجای کار ۲۷ باگ گزارش شده است. از این میزان تعدادی از اونها درست بودند و برخی تکراری یا نادرست بودند. از این گزارشها یکی از اونها با شدت متوسط بود که بانتی بخاطرش ۱۵ دلار به یک هکر هندی پرداخت کردیم:)
با نزدیکشدن به زمان عرضه عمومی جیبرس تصمیم گرفتیم تا هکرهای ایرانی رو هم دعوت کنیم تا جیبرس رو تست کنند تا بتونیم با اطمینان بیشتری از نظر امنیت وارد بازار بشیم. برای این منظور از یکم اسفند ۱۳۹۹ به پلتفرم باگبانتی #راورو پیوستیم و یک پروفایل عمومی در راورو اونجا ایجاد کردیم تا هکرها بتونن بهسادگی گزارشهای خودشون رو برای ما ارسال کنند.
بلافاصله با پیوستن به این برنامه، شکارچیهای راورو که همون هکرها هستند بررسی جیبرس رو شروع کردند و این چند روزه حسابی دارند مارو بالا و پایین میکنند. تا اینجای کار ۱۶ گزارش در راورو ثبت شد که ۷ مورد اون قابل قبول بود. یک گزارش با شدت متوسط و ۶ گزارش با شدت کم. در مجموع بابت این گزارشات ۱.۹ میلیون تومان به شکارچیها پرداخت خواهد شد.
در روز دوم، برنامه توسط راورو غیرفعال شد و از ما خواسته شد تا روی توضیحات برنامه بیشتر بررسی داشته باشیم و یه سری از باگها رو هم برطرف کنیم تا از گزارش تکراری جلوگیری کنیم. بخاطر همین ما مشغول به بررسی باگها شدیم و در میان این بررسیها به موارد جدیدی هم برخوردیم که هنوز توسط هکرها گزارش نشده و باید اونها رو برطرف یا بهاصطلاح #باگفیکس کنیم.
تا به اینجای کار در یکهفته گذشته کاملا مشغول بررسی باگها و راهحلهای برطرف کردن اونها بودیم و نیازمند طراحی یک سامانه دیوار آتش داخلی که به اصطلاح WAF گفته میشه هستیم و در کنار اون برای یک سری از بخشها باید محدودیتهایی اعمال کنیم تا امنیت جیبرس رو افزایش بدیم. بههمین دلیل احتمالا برنامه ما برای عرضه جیبرس تا پایان سال دستخوش تغییر خواهد شد. با اینحال خوشحالیم که این اقدامات منجر به امنتر شدن جیبرس و کاهش سطح اطمینان مشتریان جیبرس خواهد شد.
همچنین به شکارچیهای عزیز هم اعلام میکنیم که چند روزی منتظر بمونید تا اقدامات امنیتی ما تکمیل بشه و بعد از اون مجددا برنامه گزارش باگ راورو را فعال میکنیم تا بتونیم گزارشهای شما رو داشته باشیم. برخی از باگهای فعلی تاثیر روی تمامی بخشها دارند و چون میتونه چندین باگ بخاطر اون موضوع ثبت بشه برای همین بهتره که رفعش کنیم و بعد از شما درخواست بررسی دوباره داشته باشیم.