Программа Bug Bounty
Что такое Программа Bug Bounty?
Программа Bug BountyОфициальная инициатива, в рамках которой организация приглашает внешних исследователей сообщать об уязвимостях и выплачивает вознаграждения в зависимости от их влияния.
Программа Bug Bounty превращает краудсорсинговое тестирование безопасности в управляемый процесс. Организация публикует область, правила, исключения и уровни вознаграждений, а затем принимает отчёты независимых исследователей через собственную платформу или провайдеров вроде HackerOne, Bugcrowd или Intigriti. Сообщения проверяются, воспроизводятся, приоритизируются и устраняются, выплаты привязываются к серьёзности (часто по CVSS). Программы бывают публичными и закрытыми (по приглашению) и дополняют, но не заменяют, внутренний AppSec, инструменты SAST/DAST и пентесты. Положение safe harbour критично, чтобы добросовестные исследователи не преследовались по антихакерским законам.
● Примеры
- 01
Google Vulnerability Reward Program, Microsoft Bug Bounty, Apple Security Bounty.
- 02
SaaS-вендор запускает закрытую программу по приглашению на HackerOne с выплатами от 500 до 50 000 долларов.
● Частые вопросы
Что такое Программа Bug Bounty?
Официальная инициатива, в рамках которой организация приглашает внешних исследователей сообщать об уязвимостях и выплачивает вознаграждения в зависимости от их влияния. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Программа Bug Bounty?
Официальная инициатива, в рамках которой организация приглашает внешних исследователей сообщать об уязвимостях и выплачивает вознаграждения в зависимости от их влияния.
Как работает Программа Bug Bounty?
Программа Bug Bounty превращает краудсорсинговое тестирование безопасности в управляемый процесс. Организация публикует область, правила, исключения и уровни вознаграждений, а затем принимает отчёты независимых исследователей через собственную платформу или провайдеров вроде HackerOne, Bugcrowd или Intigriti. Сообщения проверяются, воспроизводятся, приоритизируются и устраняются, выплаты привязываются к серьёзности (часто по CVSS). Программы бывают публичными и закрытыми (по приглашению) и дополняют, но не заменяют, внутренний AppSec, инструменты SAST/DAST и пентесты. Положение safe harbour критично, чтобы добросовестные исследователи не преследовались по антихакерским законам.
Как защититься от Программа Bug Bounty?
Защита от Программа Bug Bounty обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Программа Bug Bounty?
Распространённые альтернативные названия: VRP, Программа вознаграждений за уязвимости.
● Связанные термины
- attacks№ 221
Скоординированное раскрытие уязвимостей (CVD)
Процесс, в котором исследователь, затронутый вендор и иногда координатор согласуют сроки до публичного раскрытия уязвимости.
- roles№ 132
Bug bounty-исследователь
Независимый исследователь безопасности, который находит и сообщает уязвимости вендорам через программы bug bounty или скоординированного раскрытия в обмен на денежное вознаграждение и репутацию.
- defense-ops№ 813
Тестирование на проникновение
Санкционированная имитация кибератаки на системы, приложения или людей с целью выявить эксплуатируемые слабости до того, как это сделают реальные злоумышленники.
- vulnerabilities№ 1216
Уязвимость
Слабое место в системе, приложении или процессе, которое злоумышленник может использовать для нарушения конфиденциальности, целостности или доступности.
- vulnerabilities№ 261
CVSS (Common Vulnerability Scoring System)
Открытый фреймворк, поддерживаемый FIRST, формирующий оценку критичности уязвимости от 0 до 10 на основе характеристик эксплуатации и воздействия.
- defense-ops№ 1217
Оценка уязвимостей
Систематический анализ среды для выявления, классификации и приоритизации уязвимостей, как правило, без их активной эксплуатации.
● См. также
- № 1234Белый хакер
- № 451Серый хакер
- № 390Этичный хакер