- "Вконтакте" в конце мая запустили BugBounty и собираются платить за найденные баги
- United Airlines начисляет мили за найденные уязвимости
- Google платит еще до того, как баг, собственно, найден, предлагая тестировщикам гранты
- Facebook в феврале выплатил 8000 фунтов за найденный баг, позволяющий удалить практически любую фотографию из ФБ
- VPN-сервис Hola тоже рассчитывает, что материальное стимулирование поможет избавить софт от проблем
Список, наверное, можно продолжить, наверняка вы знаете про подобные программы. Как вы к ним относитесь? Лично мне кажется, что на длинной дистанции такие программы будут малоэффективными:
- рынок Zero-day в основном черный, на нем не так много участников, и он достаточно замкнутый.
- bounty-программ пока что не так много
- эрго, пока что выгоднее оставаться в теневой части, потому что потенциально пострадавшая сторона может и не заплатить, а на черном рынке, глядишь, удастся продать.
- если вытащить этот рынок на свет божий, то награда за найденную уязвимость должна быть достаточно высокой, чтобы превысить выгоду от продажи на черном рынке.
- и не станет ли тогда искать баги выгоднее финансово, чем ремонтировать их, и не утекут ли разработчики мощным потоком в такие программы?
Второй момент упоминают разработчики из Moussouris, авторы bug bounty для Microsoft – эти программы эффективны для новых релизов и "молодого" ПО, но вряд ли будут сильным подспорьем для зрелых, развитых приложений. Идея Moussoris в том, что, возможно, выгоднее платить хакерам за раскрытие их техник и описание инструментария, которым они пользуются, чем привлекать больше "глаз" в проекты.
Третий вопрос чисто практический (особенно это касается таких критичных в плане безопасности проектов, как ПО для самолетов, например). Давайте разрешим людям ломать софт для самолетов –звучит довольно жутко. Сразу возникают мысли о первоначальных затратах на такой проект – если для тестирования сайта, например, можно приглашать всех желающих, проверка ПО, относящегося к управлению самолетом, уже требует проверки службой безопасности, тщательного отбора, и затрат, которые, скорее всего, нивелируют выгоду.
Ваше мнение?
P. S. Жадная Adobe вот запустила программу, но денег не платит) http://www.theregist...udo_bug_bounty/
