Это когда компания платит деньги за то, чтобы ломали её программы и сервисы
Есть два подхода к тестированию софта. Классический — когда тестировщики проверяют программу до её выхода. И есть второй, необычный — баг-баунти. Это конкурс, где хакерам и программистам предлагают на спор сломать нашу программу во имя будущей безопасности. Вот об этом и расскажем
Перед этой статьёй полезно пролистать наш цикл про тестирование.
Что такое баг-баунти
Баг-баунти (от англ. bug bounty) — открытый конкурс по поиску уязвимостей в продукте. Работает это примерно так:
- Компания делает анонс конкурса, мол, вот наш продукт — найдите в нём проблемы.
- Часто объявляют призы: деньги или приём на работу.
- В назначенное время начинается конкурс — сообщают, что именно нужно проверить и как.
- Айтишники пытаются найти уязвимости и сломать продукт. Найденные проблемы отправляют компании.
- Компания награждает победителей и исправляет ошибки.
У Яндекса подобные штуки называются «Охота за ошибками». В 2023 году за серьёзную уязвимость платят полтора миллиона рублей.
То же самое делает Тинькофф — у них другие критерии, но суть такая же: можно найти ошибку или уязвимость и получить деньги:
На что смотрят во время баг-баунти
Пока проходит баг-баунти, в компании смотрят за продуктом:
- как он справляется с нагрузкой;
- все ли системы работают штатно;
- нет ли сообщений системы о несанкционированном доступе;
- насколько продукт доступен для других пользователей.
Может оказаться так, что до конкурса сайт работал нормально, но первая же попытка найти ошибку уронила все сервисы — а всё потому, что разработчики не предусмотрели такие сценарии.
Зачем это компаниям
Баг-баунти для компаний — это возможность протестировать свой продукт или показать всем, что он надёжный. Иногда компании настолько уверена в своём сервисе, что объявляет баг-баунти для того, чтобы похвастаться своей надёжностью.
С другой стороны, такое часто делают до публичного запуска, когда хотят проверить всё на прочность. В этом случае у компании есть возможность исправить ошибки до публичного релиза.
Сколько платят
Надёргали для вас ещё публичных кейсов, чтобы показать серьёзность намерений:
- Сейчас Microsoft и Apple обещают выплаты до 1 млн долларов за критические уязвимости.
- Intel платит до 100 тысяч долларов за баг, если его найдут в железе, прошивке или софте.
- У Google сейчас можно получить до 30 тысяч долларов. В год компания тратит 3–5 млн на эту программу.
- У LinkedIn есть программа по поиску уязвимости сайта, в прошлом году премии доходили до 18 тысяч долларов.
- Максимальная выплата в программе баг-баунти у Uber — 15 тысяч долларов.
- В прошлом году канадском Квебеке местное Минцифры предлагало до 1500 долларов за баг.
Видно, что разброс большой: от полутора тысяч до миллиона долларов. Понятно, что миллион дадут за самую страшную ошибку, которая может стоить компании миллиардных убытков. Но для тех, кто профессионально тестирует софт, это может быть хорошим дополнительным заработком.
Хочу участвовать в баг-баунти — с чего начать?
Особых требований к участникам баг-баунти нет — попробовать свои силы может кто угодно. Но совсем с нуля, без опыта тестирования или разработки там будет очень сложно. Если хотите подготовиться — вот курсы для старта:
Курс «Инженер по тестированию»
Курс «Инженер по тестированию плюс» — более глубокое погружение в тему
Курс «Инженер по тестированию буткемп» — быстро, но очень плотно