Что такое баг-баунти платформы

Tags HR Кибербезопасность

На портале vc.ru вышла статья «Что такое баг-баунти платформы и как они работают?». Мы собрали главное из этого материала.

Что такое баг-баунти программа

Запуская баг-баунти программу, компания привлекает сторонних специалистов по кибербезопасности («белых хакеров» или «ресерчеров») для тестирования ПО на уязвимости за вознаграждение. За каждую найденную уязвимость ресерчер получает вознаграждение (“баунти”).

Из чего состоит баг-баунти платформа

1. Сообщество белых хакеров. Чем больше сообщество, тем сильнее баг-баунти платформа.
2. Собственная CRM-система. Обрабатывает уязвимости, найденные ресерчерами.
3. Команда специалистов по кибербезопасности (триажеров). Проверяют баги, которые присылают ресерчеры.

Этапы баг-баунти программы

1. К баг-баунти платформе обращается клиент, который хочет запустить баг-баунти программу.
2. Баг-баунти платформа вместе с клиентом определяет объем работ.
3. Баг-баунти платформа публикует программу на своем сайте и запускает маркетинговые активности, приглашая белых хакеров принять участие.
4. Ресерчеры ищут уязвимости в тестируемом продукте и присылают на баг-баунти платформу через CRM-систему.
5. Триажеры верифицируют каждую присланную уязвимость
6. Составляется отчет для клиента. В нем описывается, как воспроизвести баг и что сделать, чтобы закрыть уязвимость.

Преимущества баг-баунти платформы

1. Доступ к человеческому капиталу.
2. Возможность длительного тестирования.
3. Система вознаграждения делает акцент на количестве найденных уязвимостей, а не на процессе их поиска.

Source: vc.ru