Apple은 Apple 운영 체제에서 중요한 버그를 발견하고 보고한 보안 연구원에게 비용을 지불하도록 설계된 버그 포상금 프로그램을 제공하지만 연구원은 다른 주요 기술 회사와 비교하여 운영 방식이나 Apple의 지불금에 만족하지 않습니다. 워싱턴 포스트 .
2021년 새 애플워치는 언제 나올까
24명이 넘는 보안 연구원과의 인터뷰에서, 워싱턴 포스트 여러 민원을 모았습니다. Apple은 버그를 수정하는 데 느리고 항상 빚을 갚지 않습니다.
2020년 애플은 370만 달러를 지불했는데, 이는 구글이 연구원들에게 지불한 670만 달러의 절반 정도이고 마이크로소프트가 지불한 1360만 달러보다 훨씬 적은 금액이다. Facebook, Microsoft 및 Google과 같은 다른 회사에서는 주요 버그를 찾아내고 컨퍼런스를 개최하고 광범위한 참가자를 격려하기 위한 리소스를 제공하는 보안 연구원을 강조하지만 Apple은 그렇게 하지 않습니다.
보안 연구원들은 Apple이 현상금을 받을 버그에 대한 피드백을 제한하고 있으며, 전 및 현재 Apple 직원들은 아직 해결되지 않은 버그의 '대량 백로그'가 있다고 말했습니다.
보안 연구원들에게 더 개방적이기를 꺼리는 애플은 일부 연구원들이 애플에 결함을 제공하는 것을 꺼렸고, 그 연구원들은 대신 정부 기관이나 해킹 서비스를 제공하는 회사와 같은 고객에게 결함을 판매했습니다.
Apple의 보안 엔지니어링 및 아키텍처 책임자 Ivan Krstić은 다음과 같이 말했습니다. 워싱턴 포스트 Apple은 프로그램이 성공했다고 느끼고 Apple이 2019년에 비해 2020년에 버그 포상금으로 지불한 금액을 두 배로 늘렸습니다. 그러나 Apple은 여전히 프로그램을 확장하기 위해 노력하고 있으며 미래에 새로운 보상을 제공할 것입니다.
'우리는 또한 연구원들에게 프로그램 참여를 계속 확대할 수 있도록 새로운 보상을 도입할 계획이며, 우리의 엄격하고 업계 최고의 플랫폼 보안 모델을 충족하는 새롭고 훨씬 더 나은 연구 도구를 제공하기 위한 경로를 계속 조사하고 있습니다.'
Luta Security 설립자 Katie Moussoris는 이렇게 말했습니다. 워싱턴 포스트 보안 커뮤니티에 대한 Apple의 나쁜 평판은 미래에 '안전하지 않은 제품'과 '더 많은 비용'으로 이어질 수 있습니다.
애플의 버그 현상금 프로그램 0,000에서 ,000,000 사이의 보상을 약속하고 Apple은 일부 연구원들에게 보안 연구 전용 iPhone을 제공하기도 합니다. 이러한 iPhone은 소비자 기기보다 덜 잠겨 있으며 보안 취약성과 약점을 더 쉽게 찾아낼 수 있도록 설계되었습니다.
2020년에 Apple과 함께 일한 보안 연구원인 Sam Curry는 Apple에 피드백을 제공했으며 회사가 Apple이 어떻게 보이는지 알고 있고 '앞으로 나아가려고 노력하는' 것처럼 느낀다고 말했습니다. 에 따르면 워싱턴 포스트 , Apple은 올해 버그 바운티 프로그램의 새로운 리더를 고용했으므로 곧 몇 가지 개선 사항을 확인할 수 있습니다.
인기 게시물