Сервис позволяет запустить bugbounty программу в любой организации (да хоть у ИП!), так как все юридические и технические сложности мы берем на себя. Для багхантеров сервис будет полезен тем, что освободит их от необходимости пробиваться через спам-фильтры, уберет Дамоклов меч в виде УК РФ, и гарантирует выплату вознаграждений за найденные дыры. Для организаций появится отличная возможность проверить свой сайт, потратив на это гораздо меньше денег, чем стоит пентест у организации-аудитора (и с большим КПД!).
Как это работает?
Мы заключаем договор с организацией и разрабатываем для неё уникальную программу вознаграждения за найденные уязвимости на сайте организации (bugbounty). У каждой программы есть ограничения в виде срока действия, общего призового фонда, участвующих доменов/поддоменов и другие. Мы публикуем программу на портале BugHunt, привлекаем к участию в программе независимых исследователей и обрабатываем отчеты, которые они нам присылают. После этого мы направляем организации итоговый отчет, содержащий информацию обо всех найденных дырах и рекомендации по их устранению. Организация выплачивает исследователям вознаграждение по заранее определенным тарифам: за серьезные дыры - больше, за несерьезные, соответственно, меньше (тарифы устанавливает сама организация) в рамках общего призового фонда. Обязательства и объемы выплат фиксируются в договоре между организацией и сервисом BugHunt.
Вот я даже нарисовал такую картинку, чтоб было понятней.
В чем преимущества для исследователя?
- Порой багхантер тратит больше времени (и нервов) на то, чтобы достучаться до суппорта, чем на поиски самих уязвимостей. Это неправильно. Оставь бюрократию нам, а сам делай то, что умеешь лучше всего;
- РосИнтеграция имеет лицензии ФСТЭК/ФСБ на деятельность по защите информации. Это даёт нам законное право заниматься оценкой защищённости информационных систем (а те, у кого лицензий нет, соответственно этого права лишены);
Вот хорошая картинка, иллюстрирующая будни багхантера...
- Все программы собраны в одном месте. О публикации новой программы ты будешь узнавать первым из твиттера;
- Система рейтингов, удобный личный кабинет, уведомления на почту о статусе отчета, масса различных контактов для связи и многое другое!
В чем преимущества для организации-владельца интернет сайта?
- Платите за найденные дыры, а не за "человеко-дни" или красивый отчет. На время старта проекта у нас действует акция: бесплатная разработка и публикация программы! Это значит, что если на вашем сайте не найдут уязвимостей, вы не заплатите ни копейки за аудит вашего сайта.
- Привлеките к работе всё сообщество, а не единственную компанию-аудитора! Не надейтесь на репутацию аудитора, только открытое тестирование на ваших условиях даст вам гарантии безопасности. Да и те же самые сотрудники компании-аудитора могут в свободное время подрабатывать и в БагХанте за гораздо более скромные суммы ;).
PS. Распространите, пожалуйста, ссылку на БагХант среди знакомых, которые любят искать дырки. У нас там уже есть первая программа! Давайте вместе сделаем вознаграждение за найденные уязвимости стандартом для любой организации, заботящейся о безопасности своего сайта и посетителей.
Комментариев нет:
Отправить комментарий