Российские вендоры ПО не собираются снимать запреты на исследование ПО в лицензионных соглашениях (EULA), которые прямо запрещают применение ряда техник, используемых при исследовании кода на безопасность. Это обстоятельство может создавать юридические сложности для участников мероприятий наступательной безопасности (OffSec).
Яков Шпунт
© ComNews
07.09.2023
По данным исследования TAdviser, посвященного российскому рынку Bug Bounty, которое было проведено в конце 2022 г. по заказу Positive Technologies, ИТ-сектор, наряду с банками, розницей и интернет-компаниями, является одним из наиболее активных потребителей таких услуг, которые, наряду с тестированием на проникновение и комплексной имитацией атак ("редтимингом"), объединяются в сегмент средств наступательной безопасности, или OffSec.
Однако, как подчеркнула руководитель QA-отдела ИТ-компании SimbirSoft Галина Яшина, такой практикой пользуются только самые крупные ИТ-компании из-за высокой цены: "Согласно аналитике Tadviser, "Яндексу" такие исследования обошлись в 30 млн. руб. VK в 2022 г. потратила на Bug Bounty около 185 млн руб.". Хотя, по ее мнению, практика Bug Bounty стала востребованным инструментом.
Руководитель департамента информационной безопасности АО ИВК Игорь Корчагин напомнил, что тестирование кода на уязвимости, в том числе с помощью Bug Bounty прямо подпадает под формальные требования к разработке безопасного программного обеспечения. Да и заказчики, по его наблюдениям, все чаще интересуются, проводит ли вендор исследования безопасности кода, в том числе с привлечением внешних экспертов.
Как отметил руководитель направления перспективных исследований ГК "Астра" Роман Мылицын, выступая на конференции "Лучшие практики наступательной безопасности (Offensive Security)", использование bug bounty требует от разработчика ПО внесения изменений в пользовательское соглашение (EULA, End User License Agreement, лицензионное соглашение для конечных пользователей), которое обычно прямо запрещает дизассемблирование и прочие действия, используемые в ходе поиска уязвимостей. По его оценке, участники программ подвергаются серьезному риску при нарушении норм, заложенных в EULA. В итоге, как подчеркнул Роман Мылицын, проблемные положения пришлось изменить, а какие-то даже полностью убрать, и на эту работу потребовалось около 2 лет. Как заявил представитель ГК "Астра", использование практики bug bounty позволило устранить проблемы, которые внутренняя команда безопасной разработки перестала замечать из-за "замыленного" взгляда.
По мнению Игоря Корчагина, в ходе тестирования кода необходимо учитывать целый ряд различных нюансов, что требует отражения в договорной базе: "Надо внести уточнение - не тотальный запрет дезассемблирования, а для некоторых видов предоставления доступа. Если для исследования в рамках конкретных платформ, то можно для их участников. Код должен быть размещен на официальной площадке, на которой тестировщик регистрируется и получает код. К таким участникам соответствующего источника и будет применяться EULA".