Сегодня поговорим про культуру Bug Bounty. Это такой подход к обеспечению безопасности продукта, основанный на выплате разового вознаграждения за нахождение уязвимостей в системе.
Зачастую это выглядит так, что любой желающий может попытать удачу и найти уязвимости в продукте компании, которая объявила об открытии Bug Bounty. Через специальную платформу он отправляет результаты своих поисков, подробно описывает, как их воспроизвести и ждёт подтверждения о том, что уязвимость действительно существует. Затем счастливый получает свое вознаграждение и идет искать новые уязвимости. Людей, которые занимаются этим на постоянной основе принято называть багхантерами.
Размер вознаграждения зависит от щедрости компании и от уровня критичности найденной уязвимости. Все эти подробности всегда публикуются при официальном старте Баг Баунти.
Очень радует то, что в последнее время подобные программы начали часто появляться в крупных российских IT-компаниях. Так, например, Минцифры готово заплатить до 1 млн рублей за уязвимость (правда она должны быть критической, но это нюансы). В нашей стране эту культуру хорошо продвигают компании из сегмента кибербезопасности, такие как BI.ZONE или Positive Technologies, предоставляя своим клиентам целые платформы, разработанные специально под Bug Bounty, за что им огромный респект.
И да, любой из вас может на этих платформах зарегистрироваться и попробовать свои силы.
#Мнение
Твой Пакет Безопасности
