Saltar al contenido

¿Debería su compañía tener un programa de recompensas por errores?

Los programas de recompensas por errores son una forma de comprometer a la comunidad mundial para ayudarle a mejorar su software, y para reforzar una línea de comunicación ética y abierta entre esa comunidad y su equipo de desarrollo de software. En resumen, usted ofrece una recompensa – típicamente un pago en efectivo – cuando alguien le notifica confidencialmente de un error en su software. En términos generales, esto forma parte de un plan de pruebas de penetración. Es de suponer que también tienes tu propio equipo de pruebas de intrusión, pero esto reconoce el hecho de que tu equipo nunca encontrará todos los errores.

Entonces, ¿deberías tener uno? En una palabra, tal vez. Necesitas tener algunas cosas en su lugar, y probablemente añadir algunas más, antes de que puedas tener un programa legítimo. Aquí hay algunas cosas a considerar para ver si un programa de recompensas por errores es práctico dentro de su organización:

¿Debería su compañía tener un programa de recompensas por errores?
¿Debería su compañía tener un programa de recompensas por errores?

Tener ya un proceso de corrección de errores

Ni siquiera puedes considerar un programa a menos que tu equipo ya tenga un proceso documentado y fiable para aceptar informes de fallos – quizás de clientes existentes – y reconocerlos y actuar en consecuencia. En términos generales, actuar no significa, «Lo haremos en la próxima versión», sino – especialmente en el caso de errores de seguridad críticos – emitir una corrección dentro de 30-60 días. Si no tienes tal proceso, entonces es el momento de construir lo que algunas organizaciones llaman un equipo de «ingeniería de reparación rápida» que puede responder rápidamente a los errores críticos y a las correcciones de los problemas en un calendario fiable y predecible. Eso no siempre es barato, pero es la expectativa mínima.

Nombrar a un defensor de la recompensa por insectos

Alguien tiene que estar a cargo del programa. Necesitan obtener los informes entrantes, categorizarlos, comunicarse con el reportero de errores para confirmarlos y otros detalles y coordinar el esfuerzo de reparación rápida. Su defensor también necesita asegurarse de que toda la organización esté al tanto del programa de recompensas por errores, y ser capaz de obtener el apoyo de otros miembros del equipo y departamentos según sea necesario.

Realizar una auditoría de fallos

Antes de empezar a pedir al público – o incluso a los clientes – que participen en una recompensa por los insectos, deberías tener cierto nivel de confianza en que ya has aplastado a tantos como sea posible. Una recompensa por errores no es una forma de obtener una depuración y solución de problemas barata o gratuita; es un contrato social implícito. Le estás diciendo a tus cazadores de bichos: Nosotros, como empresa, hemos hecho todo lo posible para proporcionarles un producto de calidad y libre de errores. Sin embargo, somos lo suficientemente humildes para saber que nunca los atraparemos a todos. Así que les pedimos su apoyo para ayudarnos a aplastar lo que queda.

Los cazadores de insectos deben sentir que están contribuyendo, no que se están aprovechando de ellos. Así que prefacio un programa de recompensas con una amplia auditoría de su código, bibliotecas de apoyo, y así sucesivamente.

Verifique con el legal

Asegúrate de saber lo que es legal, también. Por ejemplo, si alguna de sus solicitudes consiste en bibliotecas con licencia, puede que tenga que ponerse en contacto con el proveedor para asegurarse de que está dispuesto a participar en el programa con usted. Después de todo, si un error se remonta a una biblioteca de apoyo, no querrá tener que encogerse de hombros y decir: «Es el problema de otra persona», a menos que esté dispuesto, como parte de la corrección de errores, a deshacerse de esa biblioteca externa y optar por algo diferente. Esto es algo grande – ser capaz de arreglar las cosas, no sólo identificarlas, es el objetivo. Revise los acuerdos de licencia y contacte con sus proveedores para entender lo que está permitido y lo que podría venir de un informe de errores.

Usa tu programa de recompensas por insectos como una oportunidad de aprendizaje

El mayor beneficio de un programa de recompensas por bichos no es simplemente aplastar bichos. El gran retorno debería estar en la mejora continua de su proceso de desarrollo. Para cada bicho, pregunta por qué ese bicho llegó allí. Modifica los estándares, las revisiones de código, las pruebas automatizadas y más, para que al mismo tipo de error le resulte más difícil volver a entrar en tu código. Convierte cada error en una oportunidad de aprendizaje y mejora.

Escribir un informe de errores

Si ha llegado hasta aquí, entonces puede estar listo para comenzar un programa. Empiece escribiendo un resumen: la comunidad de búsqueda de errores BugCrowd.com tiene un artículo útil sobre qué incluir en sus informes de errores.

Aquí es donde se puede resumir lo que está sobre la mesa, lo que no está, cuáles son las recompensas y cuáles deberían ser las expectativas de todos.

Tener un programa de recompensas por insectos es algo importante. Es correr un poco la cortina, e invitar a la gente a mirar dentro y ver lo que no es tan agradable. Pero también es una forma de demostrar que sabes que no funcionas en el vacío, una forma de ganarte el respeto (si lo haces bien), una oportunidad para que tu equipo de desarrollo aprenda y crezca y una forma de hacer avanzar tu software hacia un lugar mejor.

Aprenda más sobre las tendencias tecnológicas que su negocio debe seguir en nuestro informe.

Manténgase innovador con esta guía: Encontrando tu camino en el entorno tecnológico actual, que cambia rápidamente