NukeViet.vn tham gia chương trình Bug Bounty trên WhiteHub

Giới thiệu về chương trình Bug Bounty

Bug Bounty, theo giới thiệu từ CyStack - Đơn vị phát triển nền tảng WhiteHub, là một chương trình bảo mật được công bố bởi các tổ chức, doanh nghiệp hoặc bên thứ 3 nhằm thu hút cộng đồng dò tìm và báo cáo lỗ hổng bảo mật (bug) trong các sản phẩm công nghệ. Trong đó, các khoản tiền thưởng (bounty) sẽ được trao cho những người tìm ra lỗi.

Một chương trình Bug Bounty tiêu chuẩn sẽ bao gồm 3 đối tượng chính:

• Đơn vị tổ chức Bug Bounty: thường là các doanh nghiệp, tổ chức hoặc bên thứ 3. Đây là đơn vị chịu trách nhiệm thiết kế và công bố chương trình Bug Bounty, đồng thời trao thưởng cho chuyên gia tìm được lỗi.

• Sản phẩm cần tìm lỗi: có thể là website, mobile app, IoT, API, phần mềm máy tính, phần mềm dịch vụ - SaaS,…
• Chuyên gia: là những người tham gia tìm lỗi trong chương trình Bug Bounty. Họ là những chuyên gia an ninh mạng, tư vấn bảo mật cho các tổ chức, cũng có thể là một pen-tester, một hacker mũ trắng hay một sinh viên ATTT tài năng.

Hình 1: Quy trình thực hiện Bug Bounty tiêu chuẩn (Nguồn: WhiteHub)

Phần thưởng có thể là tiền mặt, bằng khen, quà lưu niệm, sự công nhận,… nhưng phổ biến nhất vẫn là tiền mặt. Tiền thưởng nhiều hay ít tùy thuộc vào mức độ nghiêm trọng và tầm ảnh hưởng của lỗi bảo mật tới người dùng và chính doanh nghiệp.

Kết quả đạt được của chương trình hợp tác giữa WhiteHub và NukeViet

Là một trong những hệ quản trị nội dung nguồn mở hàng đầu tại Việt Nam, NukeViet.vn xác định bảo mật là yếu tố sống còn, đặc biệt trong bối cảnh các sản phẩm phần mềm ngày càng mở rộng về quy mô triển khai và phục vụ đa dạng người dùng. Từ năm 2019, NukeViet đã tham gia chương trình Bug Bounty trên nền tảng WhiteHub, qua đó kêu gọi cộng đồng chuyên gia bảo mật hỗ trợ phát hiện và báo cáo lỗ hổng trong hệ thống.

Sau hơn 5 năm duy trì chương trình Bug Bounty trên WhiteHub, NukeViet đã ghi nhận nhiều kết quả tích cực trong việc cải thiện chất lượng bảo mật hệ thống. 

Theo thống kê công khai trên trang chương trình Bug Bounty của NukeViet tại địa chỉ https://whitehub.net/programs/nukeviet/hacktivity, chương trình đã ghi nhận nhiều báo cáo lỗ hổng hợp lệ từ các chuyên gia bảo mật uy tín.

Ghi nhận nhiều báo cáo lỗ hổng tới NukeViet.vn

Các lỗ hổng được phát hiện thuộc nhiều nhóm mức độ, từ các lỗi ảnh hưởng đến trải nghiệm người dùng cho đến các lỗ hổng có nguy cơ nghiêm trọng đến toàn bộ hệ thống. 

Nhờ tiếp nhận kịp thời và xử lý hiệu quả các báo cáo này, đội ngũ phát triển NukeViet đã nhanh chóng chỉnh sửa và cập nhật hệ thống, góp phần bảo vệ người dùng và giảm thiểu rủi ro về an toàn thông tin.

Điều đáng ghi nhận là các chuyên gia tham gia báo cáo không chỉ đến từ các công ty bảo mật, mà còn có cả sinh viên chuyên ngành an toàn thông tin, lập trình viên tự do và các kỹ sư phần mềm đam mê nghiên cứu bảo mật. Đây chính là minh chứng rõ nét cho hiệu quả của mô hình bảo mật cộng đồng - một xu hướng đang ngày càng được áp dụng rộng rãi trên thế giới.

Hướng dẫn báo cáo lỗ hổng bảo mật trên nền tảng WhiteHub

Việc tham gia chương trình Bug Bounty không chỉ là hoạt động kỹ thuật, mà còn thể hiện quan điểm nhất quán của NukeViet.vn trong việc phát triển phần mềm theo hướng mở, an toàn và minh bạch. NukeViet.vn hiểu rằng, việc công khai tiếp nhận báo cáo lỗi từ cộng đồng không những góp phần nâng cao chất lượng sản phẩm mà còn giúp xây dựng niềm tin trong cộng đồng người dùng và các đối tác triển khai.

Dưới đây là hướng dẫn quy trình báo cáo lỗ hổng bảo mật thông qua chương trình Bug Bounty trên nền tảng WhiteHub:

Bước 1: Tại trang chủ NukeViet.vn, bạn chọn menu Phát triển và chọn Báo lỗi qua chương trình Bug Bounty trên WhiteHub, hoặc click trực tiếp tại link: https://whitehub.net/programs/nukeviet/hacktivity.  

Hình 2: Báo lỗi qua chương trình Bug Bounty trên WhiteHub

Bước 2: Tại đây, bạn tiến hành Đăng nhập/Đăng ký tài khoản với 03 sự lựa chọn: 

• Đăng nhập/Đăng ký với Google
• Đăng nhập/Đăng ký với GitHub
• Đăng nhập/Đăng ký với Facebook

Hình 3: Đăng nhập/Đăng ký tài khoản

Bước 3: Để báo lỗi qua chương trình Bug Bounty trên WhiteHub, bạn click nút Gửi báo cáo (1) và nhập vào các thông tin chi tiết bên dưới. 

Sau khi nhập xong, bạn chọn Gửi báo cáo (2) để hoàn tất.

Hình 4: Gửi báo cáo

Trước đây, NukeViet.vn tiếp nhận các báo cáo lỗi từ người dùng và lập trình viên chủ yếu thông qua kho mã nguồn trên GitHub. Tuy nhiên, việc yêu cầu người dùng phải có tài khoản GitHub đôi khi gây trở ngại, đặc biệt với những người không chuyên hoặc ít tiếp xúc với nền tảng này.

Việc bổ sung kênh báo lỗi qua WhiteHub giúp cho các chuyên gia bảo mật, sinh viên ngành an toàn thông tin hoặc bất kỳ ai đã có tài khoản trên nền tảng WhiteHub có thêm một lựa chọn để đóng góp vào quá trình cải thiện chất lượng của phần mềm mã nguồn mở NukeViet. 

Trong tương lai, NukeViet.vn vẫn sẽ tiếp tục duy trì song song cả hai kênh tiếp nhận báo lỗi - GitHub và WhiteHub, chúng tôi tin rằng việc chủ động mở rộng thêm các kênh kết nối như vậy sẽ góp phần thúc đẩy sự tham gia tích cực từ cộng đồng, từ đó giúp sản phẩm ngày càng hoàn thiện và đáng tin cậy hơn.

Trường hợp cần được hỗ trợ miễn phí về Phần mềm nguồn mở NukeViet, hãy  trao đổi trên Group Facebook: https://www.facebook.com/groups/nukeviet

Nếu cần sử dụng các dịch vụ hỗ trợ có phí từ đơn vị phát triển, vui lòng liên hệ:

Phòng dịch vụ Web/Portal - Công ty cổ phần phát triển nguồn mở Việt Nam (VINADES.,JSC)

• Hotline: 0936226385 
• Email: [email protected]