Звучит, как название популярной шоколадки, но на самом деле описывает схему работы, при которой компании платят деньги пентестерам (специалистам по тестированию на проникновение) за найденные уязвимости в ПО или ИТ-инфраструктуре компании.
Как это работает
Баг баунти (от англ. bug bounty) — открытый конкурс по поиску уязвимостей в продукте. Работает это так: компании на специализированных площадках объявляют открытый конкурс на поиск каких-то уязвимостей. Белые хакеры подписывают необходимые документы и пытаются найти то, что от них просит заказчик. Первый (условия устанавливаются заказчиком), получивший требуемый результат получает оплату от заказчика.
Какие еще плюсы от баг-баунти
· Пока белые хакеры пытаются взломать систему
В компаниях следят и оценивают:
- как ПО справляется с нагрузкой;
- все ли системы работают штатно;
- есть ли оповещения системы о несанкционированном доступе и не только.
В общем во время тестирования специалисты ИБ в компании пытаются понять, как системы реагируют на внешнюю активность, а после уже починить те уязвимости, которые были найдены, это тоже очень полезно.
Зачем это компаниям и специалистам
1. Баг баунти для компаний хорошая возможность протестировать свой продукт силами разных специалистов.
2. Возможность публичной компании продемонстрировать насколько безопасен продукт, который они предлагают.
3. Для специалистов, которые пытаются найти баги – это хорошая возможность легально зарабатывать дополнительные деньги в свободное от работы время.
4. Для специалистов – это также возможность тренироваться и развиваться в своей профессии.
