Нравится ломать программы? Возможно, баг-баунти — это ваше призвание.
Что такое баг-баунти
Баг-баунти (от англ. bug bounty) — это программа, предусматривающая выплату денежного вознаграждения за нахождение багов и уязвимостей в ПО.
С помощью таких программ компании тестирую свои продукты, сервисы и приложения. Работает это приблизительно так:
- Компания анонсирует программу поиска уязвимостей. Принять участие в ней, как правило, может любой желающий — в большинстве случаев подтверждать свою квалификацию или ИТ-скиллы не требуется.
- За найденные баги устанавливается вознаграждение.
- Айтишник-багхантер, нашедший проблему, связывается с разработчиками (например, через техподдержку), и описывает условия ее возникновения.
- Если баг подтверждается, компания исправляет его и выплачивает денежное вознаграждение тому, кто его нашел первым.
Зачем это бизнесу
Разработчики ПО, используя услуги охотников за багами, могут найти и исправить уязвимости до того, как до них доберутся реальные злоумышленники.
Зачем это айтишникам
ИТ-специалисты получают возможность легально оттачивать свои скиллы и зарабатывать неплохие денежные вознаграждения.
Как заработать на поиске багов
Существует два основных способа поучаствовать в программах баг-баунти.
1. Присоединиться к Bug Bounty площадке
До прошлого года российским айтишникам были доступны как отечественные, так и зарубежные площадки. К сожалению, после событий февраля 2022-го резидентам РФ работать на иностранных платформах стало рискованно. Например, в марте прошлого года популярная HackerOne перестала работать с айтишниками из России и Белоруссии, заблокировав их счета. Также стоит помнить о проблемах с выплатами вознаграждений. Естественно, эти сложности касаются только резидентов РФ и Белоруссии.
К счастью, в России есть собственные платформы баг-баунти, например:
Пока их немного, но там уже присутствуют крупные заказчики. Например, используя эти платформы, можно поискать баги для Авито, Ozon, Тинькофф, СберМаркет и даже Минцифры России.
2. Принять участие в программе напрямую
У многих крупных компаний есть программы баг-баунти.
Например, Яндекс предлагает сразу четыре направления своей «Охоты за ошибками».
Кстати, в этом году компания обещает до 1,5 млн рублей за найденную уязвимость.
ISPsystem тоже предлагает вознаграждение за помощь в улучшении качества продуктов. В программе участвуют VMmanager 6, DCImanager 6, BILLmanager 5, IPmanager 5, DNSmanager 5. Размер выплаты составляет от 100 до 900 евро.
А вы когда-нибудь находили баги в сервисах и приложениях? Хотели бы вы монетизировать их?
