بلاگ جیبرس

#امنیت همیشه برای ما مهم بوده و تلاش کردیم که از نظر جنبه‌های مختلف اون رو توی جیبرس تامین کنیم. البته هر برنامه‌نویسی می‌دونه که همه فناوری‌ها دارای اشکال و #باگ هستند که میتونن منجر به #آسیب‌پذیری یک سیستم بشن. بعضی از آسیب‌پذیری‌ها دارای شدت کم هستن و برخی می‌تونن بحرانی باشن. برخی می‌تونن توی چند دقیقه کشف بشن و برای برخی نیاز به ماه‌ها تلاش وجود داره.

چند ماهی هست که برنامه گزارش باگ جیبرس رو راه انداختیم تا راهی را برای گزارش باگ‌های #جیبرس به‌وجود بیاریم. در کنار اون به‌ازای گزارش‌ها هم در حد توان هدیه‌ای نقدی که به #باگ‌بانتی معروف است پرداخت می‌کنیم. از اونجایی که صفحه گزارش باگ ما توی جستجوهای انگلیسی رشد کرد چند صد هکر خارجی تاحالا روی جیبرس تحقیق و بررسی داشتند و تا اینجای کار ۲۷ باگ گزارش شده است. از این میزان تعدادی از اون‌ها درست بودند و برخی تکراری یا نادرست بودند. از این گزارش‌ها یکی از اون‌ها با شدت متوسط بود که بانتی بخاطرش ۱۵ دلار به یک هکر هندی پرداخت کردیم:)

با نزدیک‌شدن به زمان عرضه عمومی جیبرس تصمیم گرفتیم تا هکرهای ایرانی رو هم دعوت کنیم تا جیبرس رو تست کنند تا بتونیم با اطمینان بیشتری از نظر امنیت وارد بازار بشیم. برای این منظور از یکم اسفند ۱۳۹۹ به پلتفرم باگ‌بانتی #راورو پیوستیم و یک پروفایل عمومی در راورو اونجا ایجاد کردیم تا هکرها بتونن به‌سادگی گزارش‌های خودشون رو برای ما ارسال کنند.

بلافاصله با پیوستن به این برنامه، شکارچی‌های راورو که همون هکرها هستند بررسی جیبرس رو شروع کردند و این چند روزه حسابی دارند مارو بالا و پایین می‌کنند. تا اینجای کار ۱۶ گزارش در راورو ثبت شد که ۷ مورد اون قابل قبول بود. یک گزارش با شدت متوسط و ۶ گزارش با شدت کم. در مجموع بابت این گزارشات ۱.۹ میلیون تومان به شکارچی‌ها پرداخت خواهد شد.

در روز دوم، برنامه توسط راورو غیرفعال شد و از ما خواسته شد تا روی توضیحات برنامه بیشتر بررسی داشته باشیم و یه سری از باگ‌ها رو هم برطرف کنیم تا از گزارش تکراری جلوگیری کنیم. بخاطر همین ما مشغول به بررسی باگ‌ها شدیم و در میان این بررسی‌ها به موارد جدیدی هم برخوردیم که هنوز توسط هکرها گزارش نشده و باید اون‌ها رو برطرف یا به‌اصطلاح #باگ‌فیکس کنیم.

تا به اینجای کار در یک‌هفته گذشته کاملا مشغول بررسی باگ‌ها و راه‌حل‌های برطرف کردن اون‌ها بودیم و نیازمند طراحی یک سامانه دیوار آتش داخلی که به اصطلاح WAF گفته میشه هستیم و در کنار اون برای یک سری از بخش‌ها باید محدودیت‌هایی اعمال کنیم تا امنیت جیبرس رو افزایش بدیم. به‌همین دلیل احتمالا برنامه ما برای عرضه جیبرس تا پایان سال دستخوش تغییر خواهد شد. با این‌حال خوشحالیم که این اقدامات منجر به امن‌تر شدن جیبرس و کاهش سطح اطمینان مشتریان جیبرس خواهد شد.

هم‌چنین به شکارچی‌های عزیز هم اعلام می‌کنیم که چند روزی منتظر بمونید تا اقدامات امنیتی ما تکمیل بشه و بعد از اون مجددا برنامه گزارش باگ راورو را فعال می‌کنیم تا بتونیم گزارش‌های شما رو داشته باشیم. برخی از باگ‌های فعلی تاثیر روی تمامی بخش‌ها دارند و چون میتونه چندین باگ بخاطر اون موضوع ثبت بشه برای همین بهتره که رفعش کنیم و بعد از شما درخواست بررسی دوباره داشته باشیم.