Программа Bug Bounty
Что такое Программа Bug Bounty?
Программа Bug BountyОфициальная инициатива, в рамках которой организация приглашает внешних исследователей сообщать об уязвимостях и выплачивает вознаграждения в зависимости от их влияния.
Программа Bug Bounty превращает краудсорсинговое тестирование безопасности в управляемый процесс. Организация публикует область, правила, исключения и уровни вознаграждений, а затем принимает отчёты независимых исследователей через собственную платформу или провайдеров вроде HackerOne, Bugcrowd или Intigriti. Сообщения проверяются, воспроизводятся, приоритизируются и устраняются, выплаты привязываются к серьёзности (часто по CVSS). Программы бывают публичными и закрытыми (по приглашению) и дополняют, но не заменяют, внутренний AppSec, инструменты SAST/DAST и пентесты. Положение safe harbour критично, чтобы добросовестные исследователи не преследовались по антихакерским законам.
● Примеры
- 01
Google Vulnerability Reward Program, Microsoft Bug Bounty, Apple Security Bounty.
- 02
SaaS-вендор запускает закрытую программу по приглашению на HackerOne с выплатами от 500 до 50 000 долларов.
● Частые вопросы
Что такое Программа Bug Bounty?
Официальная инициатива, в рамках которой организация приглашает внешних исследователей сообщать об уязвимостях и выплачивает вознаграждения в зависимости от их влияния. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Программа Bug Bounty?
Официальная инициатива, в рамках которой организация приглашает внешних исследователей сообщать об уязвимостях и выплачивает вознаграждения в зависимости от их влияния.
Как защититься от Программа Bug Bounty?
Защита от Программа Bug Bounty обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Программа Bug Bounty?
Распространённые альтернативные названия: VRP, Программа вознаграждений за уязвимости.