Skip to content
WSS Security - APPSEC

Ganhando Prêmios no VDP

Como ganhar números da sorte no VDP

Todo colaborador participante do Programa de Reporte de Vulnerabilidades pode ganhar números da sorte tanto com a identificação/reporte de uma vulnerabilidade quanto com a sua correção. Conforme informado anteriormente, o reporte de vulnerabilidades deve ser feito através da abertura de um Work Item no Azure DevOps ou via Formulário de Reporte de Vulnerabilidades, as correções destas vulnerabilidades devem ser submetidas via pull request relacionado ao Work Item da vulnerabilidade.

Com a conclusão do reporte ou correção de uma vulnerabilidade por parte do profissional do desenvolvimento, o reporte ou correção passa para um processo de triagem e validação por parte da equipe de AppSec. Este processo garante que o reporte efetuado está relacionado a uma vulnerabilidade real e com impacto ao código de uma aplicação e que as propostas de correção de fato mitigam o impacto ou probabilidade de exploração da vulnerabilidade.

Após a conclusão deste processo, caso o reporte ou a correção sejam identificados como válidos, a pessoa que realizou o reporte ou correção receberá uma quantidade fixa de números da sorte, de acordo com a criticidade da vulnerabilidade em questão, como descrito na Tabela 2. Estes números da sorte serão utilizados para concorrer em sorteios de prêmios que ocorrerão em intervalos de três meses. Os estados de cada reporte ou correção podem ser acompanhados pelo ambiente do Azure DevOps.

Premiação

Dentro do Programa de Reporte de Vulnerabilidades, os participantes poderão concorrer a premiações que serão sorteadas em um intervalo de três meses durante o ano. Para participar desses sorteios, é preciso possuir algum número da sorte, que pode ser obtido através do reporte ou correção de uma vulnerabilidade de código. Cada instância do sorteio aplicará o seguinte processo para selecionar seus vencedores:

  1. Apresentação dos prêmios do trimestre
  2. Realização do sorteio
  3. Entrega dos prêmios
  4. Remoção dos números da sorte sorteados

Os prêmios disponíveis devem ser definidos no início de cada trimestre e informados a todos os profissionais participantes do VDP através do grupo do Programa de Reporte de Vulnerabilidades ou apresentação síncrona de abertura do trimestre. Os prêmios são baseados em um orçamento fixo definido anualmente.

Uma pessoa pode possuir quantos números da sorte ela conseguir através do reporte e correção de vulnerabilidades, estes números representam uma chance de ganhar um dos prêmios do trimestre que serão sorteados. Números da sorte serão sorteados até que todos os prêmios do trimestre tenham sido entregues aos ganhadores. Uma mesma pessoa não pode ganhar mais de um prêmio no sorteio do trimestre.

Ao final de todo sorteio, os números da sorte que foram sorteados serão desassociados da pessoa que ganhou o prêmio, sendo possível serem obtidos por uma outra pessoa ou pela mesma, após a entrega válida de um reporte ou correção de vulnerabilidade. Ao final do ano, todos os números serão desassociados para uma nova versão do VDP no ano seguinte.