Viele Firmen investieren Geld in externe Sicherheitsüberprüfungen (Penetration Tests), die leider oftmals nur wenige Schwachstellen aufdecken. Ein häufiger Grund dafür ist die unbekannte Problemdomäne des zu testenden Produktes. Die Alternative dazu ist ein sogenanntes Internes Bug-Bounty Programm, in dem anstatt externer Dienstleister, die eigenen Entwickler Sicherheitslücken aufspüren.
Dynatrace hat 2018 drei Monate lang seine Entwickler dazu aufgefordert, neben ihrer normalen Tätigkeit auch Security-Lücken zu identifizieren. Dieser Talk gibt einen ausführlichen Einblick in die Vorteile, Tücken und Key-Learnings eines selbst organisierten internen Bug-Bounty Programms. Ebenso wird präsentiert, wie wir unseren Mitarbeitern die Ergebnisse aufbereitet haben, und welche Schritte gesetzt werden können, um eine Awareness-Steigerung zu erzielen. Zu guter Letzt wird ein Kostenvergleich zu externen Bug-Bounty Diensten (Hackerone, Bugcrowd, etc.) aufgestellt.