Программы bug bounty еще не слишком широко распространены в России, однако внимание к ним растет из года в год. В то же время в других странах возможность заработать на поиске уязвимостей стала настоящим клондайком для исследователей информационной безопасности. ИБ-эксперты и «белые хакеры» могут неплохо заработать, занимаясь любимым делом, а IT-компаниям bug bounty позволяет привлечь больше рабочих рук к модернизации своих продуктов.
Что же такое bug bounty? Это программа, в рамках которой различные компании и сервисы предлагают независимым экспертам и исследователям в сфере информационной безопасности денежные вознаграждения за ошибки и уязвимости, обнаруженные в продукции этих организаций.
Редакция SecureNews не могла обойти стороной данное явление и решила обсудить с экспертами место bug bounty в сфере информационной безопасности, в том числе в российских реалиях.
-
Тимофей Матреницкий
Менеджер по продуктам Guardant, Актив
Bug bounty — довольно интересный и прогрессивный подход к информационной безопасности. Однако, учитывая специфику, сложно опираться на эту программу, как что-либо гарантирующий элемент архитектуры.
Программа безусловно помогает вендорам сэкономить большие деньги и сохранить репутацию. Но ее использование никак не отменяет необходимости держать в штате собственных специалистов по безопасности, иначе ни о какой экономии речи не пойдет. То есть bug bounty — это серьезное дополнение к собственным защитным мерам, но только дополнение.
Перспективы программы в России напрямую зависят от того, как будут развиваться наши ИТ-проекты. Продукты, которые используют программу несколько лет, уже прошли через многих хантеров и залатали все относительно легко заметные дырки. Поэтому поиск уязвимостей в таких продуктах постепенно будет становиться все более и более сложным делом, хотя и очень хорошо оплачиваемым. Компаний-новичков, запускающих эту программу, пока не так много, и перспективы развития bug bounty в России будут во многом зависеть от их желания делать по-настоящему защищенный продукт и готовности за это платить.
Угрозой для bug bounty, как источника заработка, могут стать сервисы, автоматически сканирующие ресурсы на предмет уязвимостей. И хотя полностью заменить профессионального специалиста такие системы в обозримом будущем не смогут, их развитие и распространение отнимет хлеб у хантеров, как минимум, в части поиска дешевых уязвимостей.
Комментарии остальных экспертов доступны в полной версии статьи на сайте SecureNews.