Smart_Team 30 ноя 2021 в 10:55

Как поднять бабла на баг-баунти или история о поощрении поиска ошибок

5 мин

5.5K

IT-компанииИнформационная безопасность * Финансы в IT

Из песочницы

Комментарии 5

mixsture 30 ноя 2021 в 12:34

Большая проблема баг-баунти в том, что это рынок одного покупателя. Который как хочет, так и оценивает вознаграждение.
Как только туда подтягиваются другие покупатели, то позиция компании меняется сразу на «уволю, засужу» вместо поощрения — хотя эти покупатели, очевидно, сдвинут цену в сторону реально-обоснованной рынком.
Это выливается в довольно странные рабочие отношения: либо тебе копеечка вместо нормальной суммы, либо ничего, либо тюрьма. Как будто тут есть какой-то выбор.
Простая правда в том, что компания не собирается платить реальную стоимость, иначе ее бы не страшило участие других покупателей — она бы легким движением руки выставила цену выше остальных.

Отсутствие конкуренции со стороны покупателей, естественно, порождает занижение стоимости бага. Это может выражаться как в сумме, так и просто в нежелании прилагать дальнейший труд к раскрытию бага.
Пример из вашей же статьи:

Коллега много раз говорил нам об уязвимости проекта, но никто не думал, что она серьезная. Как только он воспользовался уязвимостью, мы ее быстро исправили. Пример, конечно, плохой, но пользы в нем много.

Вот представьте, если бы этот баг продали сторонним покупателям и вы увидели его эксплуатацию — уверен, скорость бы поднялась до космической, так еще и бизнес-процессы бы перестроили, чтобы вот эти люди «никто не думал» были как-то повнимательнее и потрудолюбивее.

aleks_raiden 30 ноя 2021 в 12:46

Ваша позиция основана на этичности и допущении, что может быть открытый рынок уязвимостей. Но это очень спорное допущение, местами за гранью закона, а значит - не может быть аргументом. Кроме того, программа баг-баунти - она по определению, свободная - хотите - занимаетесь, не хотите - нет.

desertkun 30 ноя 2021 в 16:24

Чтобы убедиться в наличии проблемы, специалист обязательно попробует повторить действие со своего компьютера. Если попытка удалась – уязвимость засчитывается, а нашедшего сотрудника ждет вознаграждение.

Я вижу конфликт интересов. Специалист по безопасности, по сути, выплачивает со своего кармана, т. к., в противном случае, фонд вознаграждений делится между такими специалистами. Как только цена доходит до хотябы четырех цифр в долл эквиваленте, сразу возникают палки в колеса, ой не могу повторить, а это мы уже закрывали и тд.

nvtorushin 1 дек 2021 в 06:19

Для этого должен быть процесс, который просто это фиксит на этапе зарождения мысли конфликтов)
Исходя из расчетов 2kk₽ на 18 уязвимость, а это значит в среднем = 111111₽ = 1500$ и делаем логичный вывод, что процесс построен и проблем нет.
Для кейсов, где есть конфликты всегда можно привлечь третью сторону - "Арбитр", который решит ваш конфликт конструктивно)

Smart_Team 1 дек 2021 в 15:45

У нас в компании это действительно выстроено как процесс и конфликт интересов разрешается очень легко (при необходимости подключаюсь лично и разбираюсь в ситуации). Для того, чтобы не было спорных моментов как только мы поправили уязвимость - мы публикуем внутри проекта это и показываем, что именно было исправлено.

Важно, что мы не отбираем ни у кого деньги, а наоборот вознаграждаем) Т.е. фонд выделен отдельный от всех остальных премий в компании.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий