Kompanija Browser je pokrenula Bug Bounty program za svoj Arc Browser nakon otkrivanja i brzog rješavanja ranjivosti udaljenog izvršavanja koda (RCE) .
Izvršni direktor Josh je objavio to, naglašavajući posvećenost kompanije transparentnosti i proaktivnim mjerama sigurnosti.
CVE-2024-45489: Brzi odgovor
Ranjivost, CVE-2024-45489 , prijavljena je 25. avgusta i zakrpljena u roku od 24 sata. Iako nijedan korisnik nije pogođen, incident je podstakao sveobuhvatnu reviziju sigurnosnih praksi kompanije.
“Ovo je bio važan trenutak za nas i naše članove,” rekao je Josh. “Iskoristili smo ovu priliku da poboljšamo našu sigurnost i praksu reagovanja na incidente u cijeloj kompaniji.”
Pokretanje programa Bug Bounty
Kompanija Arc Browser uvela je Arc Bug Bounty program kako bi prepoznala kritičnu ulogu istraživačke zajednice o sigurnosti .
Ova inicijativa ima za cilj da angažuje istraživače u identifikaciji potencijalnih ranjivosti prije nego što se one mogu iskoristiti. Detalji o nagradama i smjernicama za podnošenje su sada dostupni, a program je dizajniran da se razvija na osnovu povratnih informacija učesnika.
Dalja ublažavanja i interna poboljšanja
Kao odgovor na CVE-2024-45489, implementirane su dodatne sigurnosne mjere:
- Pojačanja sa JavaScript-om više nisu automatski omogućena na sinhronizovanim uređajima u Arc verziji 1.61.2.
- Globalni prekidač za onemogućavanje svih funkcija vezanih za Boost uveden je u Napredne postavke.
- Angažovana je eksterna revizorska kuća da izvrši sveobuhvatan pregled pozadinskih sistema, fokusirajući se u početku na liste za kontrolu pristupa (ACL ) .
Interno, The Browser Company poboljšava svoje procese kako bi ranije identifikovala ranjivosti . Nove razvojne smjernice naglašavaju prakse kodiranja dubinske odbrane i principe sigurnog dizajna.
Učestalost revizija sigurnosnih kodova koje uključuju interne timove i eksterne firme će se povećati.
Posvećenost transparentnosti i sigurnosti
Kompanija je također obnovila svoje procese reagiranja na incidente kako bi poboljšala komunikaciju i vrijeme odgovora.
Novi sigurnosni bilten će biti mjerodavan izvor za sve izvještaje o sigurnosnim incidentima, uključujući tehničke zapise i procjene uticaja.
Kako The Browser Company nastavlja svoj put s Arc-om, ostaje posvećena smanjenju tehničkog duga i održavanju agilnog pristupa razvoju proizvoda.
Uz stalne napore na jačanju svoje sigurnosne pozicije, kompanija poziva sve zainteresovane za sigurnosne uloge da se pridruže svom timu.
Izvor: CyberSecurityNews