Крупные производители делают ставку на программы Bug Bounty
Желающие запустить собственную программу вознаграждения за обнаруженные уязвимости могут либо самостоятельно организовать конкурс, либо воспользоваться одной из площадок для проведения Bug Bounty.
Необходимость в постоянном поиске уязвимостей в программном обеспечении и сетевой инфраструктуре вынуждает крупные компании все чаще обращаться за помощью к широкому кругу экспертов. Делается это через программы вознаграждения за найденные уязвимости.
Bug Bounty зачастую позволяет любому пользователю попытаться обнаружить уязвимость и сообщить о ней на определенных условиях. Желающие запустить собственную программу вознаграждения за обнаруженные уязвимости могут либо самостоятельно организовать конкурс, либо воспользоваться одной из площадок для проведения Bug Bounty, например HackerOne, BugCrowd или OpenBugBounty.
В случае с OpenBugBounty, площадка призвана вызвать интерес в основном у компаний малого и среднего бизнеса, поскольку является бесплатной и, в то же время, позволяет организовать программу вознаграждения. Однако, далеко не маленькие фирмы начали пользоваться услугами проекта OpenBugBounty. Среди действительно крупных компаний свои программы по вознаграждению на ресурсе запустили GoDaddy, Orange France, Lidl, Toyota, Henkel и даже российский ресурс Avito.
Согласно статистике проекта, программы вознаграждения уже приносят свои плоды. Ниже список из 20 известных сайтов, которые запустили программы вознаграждения.
Как видим на рисунке выше, программы поиска уязвимостей приносят неплохие плоды своим организаторам.
Напомним, на этой неделе GitHub объявил о снятии ограничения на максимальную выплату за критические уязвимости, а количество выплат компании исследователям в рамках данной программы за прошлый год составило более $165 тыс.
Однако у Bug Bounty есть и свои противники. Специалисты Массачусетского технологического института (MIT) назвали программы Bug Bounty неэффективными. Согласно исследованию, семь наиболее «продуктивных» участников программы Facebook зарабатывали всего $34 255 в год при обнаружении в среднем 0,87 ошибок в месяц, а в случае с программами на HackerOne лидеры зарабатывали только $16 544 при выявлении 1,17 ошибок в месяц в среднем.