Bu bölümde Strecan’da sık kullanılan kelime ve terimlerin tanımına değineceğiz.

Strecan:

Eski ingilizcede kullanılan bir kelime olarak geçmekte, Strecan kelime anlamı avcı demektir, Strecan bir bug bounty platformudur ve bir tekoloji firmasının ticari markasıdır. Strecan, yasal bir platform oluşturarak, güvenlik uzmanlarının/beyaz şapkalı hackerların/güvenlik açığı avcılarının web siteleri, uygulama programları, mobil uygulamalar, donanımlar ve sistemlerde güvenlik açıklarını araştırmalarını ve ortaya çıkmasını ve kuruma raporlanmasını sağlar.

Bug Bounty:

Yazılımlar, uygulamalar, mobil uygulamalar ve web sitelerinde keşfedilen güvenlik açıklıklarını veya hataları bildirme ve yazılım sahibinden nakit veya nakit olmayan ödül almayı ifade eden bir süreçtir.

Avcı:

Strecan platformunda yasal hacker, beyaz şapkalı hackerlar, güvenlik uzmanları, güvenlik açığı avcıları ve gibi güvenlik uzmanları "Avcılar" olarak tanınır.

İşletmeler:

Strecan'da, bug bounty programlarına katılan devlet ve özel şirketler "İşletmeler" olarak adlandırılırlar.

Hedefler:

İşletmeler kendi altyapılarında, web sitelerinde veya mobil uygulamarında güvenlik açıklarının bulunması için belirledikleri kurallara “hedef” denir. Bu kurallar, güvenlik açıkları raporlarının kabulü ve fiyatlandırılması için yapılması gerekenler, yapılmaması gerekenler ve koşulları içerir.

Her işletme, ihtiyaç duyduğuna göre sistemleri için bir veya daha fazla hedef tanımlayabilir.

Hedefe erişim türü aşağıdaki 3 türden biri olabilir:

• Genel: Platformda kayıtlı tüm avcıların katılımına izin verilir.
• Özel: Faaliyet geçmişine veya kazanılan puanlara göre bir grup avcının katılımına izin verilir.
• Davetiyeli: Yalnızca işletme tarafından davet edilen avcıların katılımına izin verilir.

Av Raporları:

Av raporları, avcılar tarafından hedeflerde bulunan güvenlik açıklarıdır. Bu raporlar, doğrulanırsa ve uygun şekilde değerlendirilirse, ödüllendirilebilir.

Her av raporu, aşağıdaki iki durumdan birine ait olabilir:

• Açık rapor: Hala incelenmekte olan raporlardır. Bu raporlar aşağıdaki aşamaların herhangi birinde olabilir:

  1- İlk inceleme

  2- Jüri ekibi incelemesi

  3- Ek bilgi gerekli

  4- Jüri ekibinin tekrar incelemesi

  5- İşletme incelemesi

  6- Nihai değerlendirme

• Kapalı rapor: Durumu kesinleşmiş raporlardır. Bu raporlar aşağıdaki aşamaların herhangi birinde olabilir:

  1- Spam

  2- Tekrarlanan rapor

  3- Doğrulanmış rapor

  4- Eksik rapor

Onur köşesi:

Her avcının profil sayfasında görülebilen bir onur köşesi vardır. Bu köşe, avcının platformdaki faaliyetlerine göre sıralamasını, puanını, aldığı madalyaların ve teşekkürlerin listesini içerir.

CVSS: Genel Güvenlik Açığı Puanlama Sistemi (CVSS), bir güvenlik açığının ciddiyetini değerlendirmek ve belirlemek için kullanılan açık kaynaklı ve endüstriyel bir standarttır. Bu standart, güvenlik açıklarını daha etkili bir şekilde önceliklendirerek ve gerekli kaynakları bunların giderilmesi için tahsis ederek yanıt verenlere yardımcı olur.

CVSS puanı, üç ana ölçüt temelinde hesaplanır:

• Yaralanabilirlik: Bu ölçüt, güvenlik açığının istismar edilmesinin ne kadar kolay olduğunu ölçer.
• Etki: Bu ölçüt, güvenlik açığının istismar edilmesinin etkilerini ölçer.
• Kapsam: Bu ölçüt, güvenlik açığının ne kadar sistem üzerinde etkili olduğunu ölçer.

CVSS puanı, 0 ile 10 arasında bir sayısal değerdir, 10 en ciddi tehdide karşılık gelir.