کلمهها و اصطلاحهای پرکاربرد
بایدها و نبایدهای ثبت گزارشدر این بخش به تعریف کلمهها و اصطلاحهای پر کاربرد در راورو میپردازیم.
راورو
کلمهای با ریشه کردی و به معنی شکارچی حرفهای میباشد. راورو نام تجاری پلتفرم باگبانتی است. این پلتفرم که محصول یک شرکت دانشبنیان است، با ایجاد بستری قانونی، زمینه فعالیت متخصصان امنیت/هکرهای کلاه سفید/شکارچیان آسیبپذیری را درخصوص شناسایی آسیبپذیری بر روی وب سایتها، برنامههای کاربردی، اپلیکیشنهای موبایلی، سخت افزارها و سامانههای داخل کشور فراهم مینماید.
(ڕاڤ ڕۆ - برگرفته از کتاب فرهنگ لغت کردی-فارسی ههنبانه بورینه)
باگبانتی
(به انگلیسی:BugBounty) فرآیند کشف و ارایه گزارش آسیبپذیری یا حفره امنیتی یا باگ از نرم افزار، برنامههای کاربردی، اپلیکیشنها و وب سایتها و دریافت پاداش چه نقدی و چه غیرنقدی از صاحب نرم افزار را باگ بانتی میگویند.
شکارچی
در راورو، هکرهای قانونی، هکرهای کلاه سفید، متخصصان امنیت، باگهانترها و شکارچیان آسیبپذیری با نام شکارچی شناخته میشوند.
میدان
در راورو، شرکتها و سازمانهای دولتی/خصوصی که در باگبانتی شرکت کردهاند، با نام میدان شناخته میشوند.
هدف
به مجموعه قوانین میدان ها هدف میگوییم. که این قوانین شامل بایدها و نبایدها و شرایط پذیرش و قیمت گذاری گزارشهای آسیبپذیری است.
هر میدان بر اساس نیاز میتواند برای سامانههای خود یک یا چند هدف تعریف کند.
نوع دسترسی به هدف میتواند یکی از ۳ نوع زیر باشد:
- عمومی - امکان مشارکت تمامی شکارچیان ثبت نام کرده در پلتفرم
- خصوصی - امکان مشارکت گروهی از شکارچیان بر اساس سابقه فعالیت یا امتیاز کسب شده
- دعوتنامهای - امکان مشارکت فقط برای شکارچیان دعوت شده توسط میدان
گزارش شکار
به گزارشهای آسیبپذیری یا حفرههای امنیتی که توسط شکارچیها از اهداف میدانها ثبت میشود گفته میشود. این گزراشها پس از ارزیابی در صورت تایید و بنا به ارزش گذاری صورت پذیرفته، میتواند شامل پاداش شود.
هر گزارش شکار میتواند شامل یکی از دو وضعیت زیر باشد:
- گزارش باز
- گزارشهایی که در حال بررسی است. گزارشهایی که در یکی از وضعیت های بررسی اولیه، بررسی تیم داوری، نیازمند اطلاعات بیشتر، بازبینی مجدد تیم داوری، بررسی میدان، ارزیابی نهایی قرار داشته باشد در دسته گزارش باز حساب میشوند.
- گزارش بسته
- گزارشهایی که وضعیت آنها نهایی شده است. گزارشهایی که در یکی از وضعیت های اسپم، گزارش تکراری، تایید گزارش، رد گزارش-گزارش ناقص قرار داشته باشد در دسته گزارش بسته حساب میشوند.
تالار افتخار
تالار افتخار به ازای هر شکارچی در صفحه نمایهاش قابل مشاهد است و شامل رتبه، امتیاز، لیست مدالها و تشکرهای دریافت شده بر اساس فعالیت شکارچی در پلتفرم است.
CVSS
سیستم امتیازدهی آسیبپذیری عام یا CVSS (به انگلیسی: Common Vulnerability Scoring System) یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیبپذیری است. در این استاندارد سعی شده است تا با اختصاص دادن امتیاز به میزان شدت آسیب پذیریها، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیبپذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی به وسیله فرمولی محاسبه میشود که دارای چندین معیار میباشد و سعی دارد سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیبپذیری را مشخص کند. هر امتیاز، در بازه عددی بین مقدار ۰ تا ۱۰ قرار میگیرد که ۱۰ به شدیدترین تهدید اشاره دارد.