کلمهها و اصطلاحهای پرکاربرد
بایدها و نبایدهای ثبت گزارشدر این بخش به تعریف کلمه ها و اصطلاحات پر کاربرد در راورو میپردازیم.
راورو
کلمه ای با ریشه کردی و به معنی شکارچی حرفه ای میباشد. راورو نام تجاری پلتفرم باگ بانتی است. این پلتفرم که محصول یک شرکت دانش بنیان است، با ایجاد بستری قانونی، زمینه فعالیت متخصصان امنیت/هکرهای کلاه سفید/شکارچیان آسیب پذیری را درخصوص شناسایی آسیب پذیری بر روی وب سایت ها، برنامه های کاربردی، اپلیکیشن های موبایلی، سخت افزارها و سامانه های داخل کشور فراهم مینماید.
(ڕاڤ ڕۆ - برگرفته از کتاب فرهنگ لغت کردی-فارسی هه نبانه بورینه)
باگ بانتی
(به انگلیسی:BugBounty) فرآیند کشف و ارایه گزارش آسیب پذیری یا حفره امنیتی یا باگ از نرم افزار، برنامه های کاربردی، اپلیکیشن ها و وب سایت ها و دریافت پاداش چه نقدی و چه غیرنقدی از صاحب نرم افزار را باگ بانتی میگویند.
شکارچی
در راورو، هکرهای قانونی، هکرهای کلاه سفید، متخصصان امنیت، باگ هانترها و شکارچیان آسیب پذیری با نام شکارچی شناخته میشوند.
میدان
در راورو، شرکت ها و سازمان های دولتی/خصوصی که در باگ بانتی شرکت کرده اند، با نام میدان شناخته میشوند.
هدف
به مجموعه قوانین میدان ها هدف میگوییم که این قوانین شامل بایدها و نبایدها و شرایط پذیرش و قیمت گذاری گزارش های آسیب پذیری است.
هر میدان بر اساس نیاز میتواند برای سامانه های خود یک یا چند هدف تعریف کند.
نوع دسترسی به هدف میتواند یکی از ۳ نوع زیر باشد:
- عمومی - امکان مشارکت تمامی شکارچیان ثبت نام کرده در پلتفرم
- خصوصی - امکان مشارکت گروهی از شکارچیان بر اساس سابقه فعالیت یا امتیاز کسب شده
- دعوتنامه ای - امکان مشارکت فقط برای شکارچیان دعوت شده توسط میدان
گزارش شکار
به گزارش های آسیب پذیری یا حفره های امنیتی که توسط شکارچی ها از اهداف میدان ها ثبت میشود، گزارش شکار گفته میشود. این گزارش ها پس از ارزیابی در صورت تایید و بنا به ارزش گذاری صورت گرفته، میتواند شامل پاداش شود.
هر گزارش شکار میتواند شامل یکی از دو وضعیت زیر باشد:
- گزارش باز
- گزارش هایی که در حال بررسی است. گزارش هایی که در یکی از وضعیت های بررسی اولیه، بررسی تیم داوری، نیازمند اطلاعات بیشتر، بازبینی مجدد تیم داوری، بررسی میدان، ارزیابی نهایی قرار داشته باشد در دسته گزارش باز حساب میشوند.
- گزارش بسته
- گزارش هایی که وضعیت آنها نهایی شده است. گزارشهایی که در یکی از وضعیت های اسپم، گزارش تکراری، تایید گزارش، رد گزارش-گزارش ناقص قرار داشته باشد در دسته گزارش بسته حساب میشوند.
تالار افتخار
تالار افتخار به ازای هر شکارچی در صفحه نمایه اش قابل مشاهده است و شامل رتبه، امتیاز، لیست مدال ها و تشکرهای دریافت شده بر اساس فعالیت شکارچی در پلتفرم است.
CVSS
سیستم امتیازدهی آسیب پذیری عام یا CVSS (به انگلیسی: Common Vulnerability Scoring System) یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیب پذیری است. در این استاندارد سعی شده است تا با اختصاص دادن امتیاز به میزان شدت آسیب پذیری ها، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیب پذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی به وسیله فرمولی محاسبه میشود که دارای چندین معیار میباشد و سعی دارد سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیب پذیری را مشخص کند. هر امتیاز، در بازه عددی بین مقدار ۰ تا ۱۰ قرار میگیرد که ۱۰ به شدیدترین تهدید اشاره دارد.