Компания HackerOne объявила о том, что за время существования платформы в рамках программы "bug bounty" этичным хакерам и исследователям уязвимостей было выплачено более 300 млн. долл.
Тридцать хакеров получили за свои работы более миллиона долларов США, а один из них побил рекорд, получив за свои сообщения об ошибках более 4 млн. долларов США.
Основанная более десяти лет назад платформа HackerOne - это платформа "баг-баунти", объединяющая организации с сообществом этичных хакеров, которые выявляют и сообщают об уязвимостях и слабых местах в программном обеспечении в обмен на вознаграждение.
По сути, это платформа для хостинга и координации раскрытия информации об ошибках, позволяющая компаниям управлять сообщениями и оперативно устранять выявленные проблемы, гарантируя при этом выплаты тем, кто о них сообщает.
В этом году на устранение ошибок, о которых было сообщено, ушло в среднем 25,5 дней, что на 28% больше, чем в прошлом году.
Сколько стоит ошибка?
Компания HackerOne опубликовала отчет "2023 Hacker-Power Security Report", в котором поделилась своими соображениями о тенденциях этого года.
Компания подчеркнула, что криптовалюты и блокчейн-структуры по-прежнему пользуются наибольшим вниманием со стороны этичных хакеров, что обусловлено обещанием самых высоких выплат. В этом году самая крупная выплата составила 100 050 долл. от одной из криптовалютных фирм.
Медианная цена ошибки на платформе в этом году составляет 500 долл. и достигает 3 000 долл. в 90-м процентиле (самые высокие 10%).
Для критических и высокосерьезных дефектов средняя выплата составляет 3700 долл. по всем отраслям и достигает 12 000 долл. в 90-м процентиле.
По данным HackerOne, традиционный поиск ошибок - не единственное занятие на платформе, так как в этом году на 54% выросло число заявок на проведение пен-тестирования.
ИИ - это и помощь, и цель
Более половины этичных хакеров, участвующих в программах HackerOne, сообщают, что в той или иной мере используют генеративный ИИ, включая написание более качественных отчетов, написание кода и снижение языкового барьера.
61% из них сообщают, что планируют использовать генеративный ИИ для поиска новых уязвимостей, а 55% ожидают, что в ближайшие годы сами средства ИИ станут серьезной мишенью.
Охотники за головами разделились во мнениях относительно того, приведет ли ИИ к повышению безопасности программных продуктов или к росту числа уязвимостей.
Среди других мнений, приведенных в отчете, можно выделить мотивирующие и отталкивающие факторы: наибольшую роль в участии играют вознаграждения (73%), затем идут обилие недостатков (50%), возможность учиться (45%), разнообразные масштабы (46%) и быстрые выплаты (42%).
С другой стороны, среди факторов, отталкивающих хакеров от программы, - медленное время отклика (60%), ограниченный объем работ (58%), плохая связь (55%), низкие вознаграждения (48%) и негативные отзывы (44%).
Те, кто заинтересован в участии в программе вознаграждения за ошибки HackerOne, могут просмотреть каталог компаний, чтобы узнать, что входит в сферу поиска ошибок.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
