Как стать автором
Обновить
1117.2
Рейтинг
Timeweb
Хостинг, VDS и ИТ-инфраструктура

Замена игрока, или Почему мы решили сменить Bug Bounty платформу?

Блог компании Timeweb Информационная безопасность *Тестирование IT-систем *IT-компании
Скоро мы отметим 2-летний юбилей нашего участия в Bug Bounty программе.

В прошлой статье мы рассказали, как всё начиналось: как запустить Bug Bounty программу, если нет опыта, на что стоит обратить внимание, как корректно сформировать скоуп и оценить критичность найденных багов в интересах компании.



Тогда, год назад, мы работали в рамках приватной Bug Bounty программы с проверенной платформой. За год нашего сотрудничества мы получили 76 репортов. Средний размер вознаграждения составлял примерно 423$.

Это хороший результат, которым мы очень довольны. Но, наверное, как вы догадались, что-то пошло не так…
Bug Bounty («вознаграждение за ошибку») — это программа, которая предусматривает денежное вознаграждение или другие бенефиты за нахождение багов, эксплойтов и уязвимостей в работе ПО.

Компания может запустить подобную программу самостоятельно, своими силами организовав все процессы и взаимодействия. Второй вариант — обратиться к специальным Bug Bounty платформам: заключаем соглашение, и армия багхантеров приступает к работе.

Почему мы решили сменить Bug Bounty платформу?


Наверное, начать нужно с того, почему же 2 года назад мы все-таки остановили выбор на данной платформе. Конечно, свою роль сыграл тот факт, что тогда у нас не было опыта, мы имели лишь небольшое представление, как лучше выстроить процессы. Поэтому в приоритете стояли привлекательные финансовые условия, которые наша прошлая платформа и предлагала, а также подкупила русскоязычная команда платформы. Значит, общаться будет легко!

После года сотрудничества мы обратили внимание, что активность багхантеров заметно снизилась. Нас, конечно, это не устраивало. Мы стали получать меньше репортов, и сотрудничество перестало быть для нас полезным. Так что ключевым фактором смены площадки можно признать отсутствие активности хантеров по нашим сервисам.



Причин, почему же так случилось, может быть несколько.

Во-первых, важно учитывать, что число багхантеров ограничено. На нашей прошлой платформе их было всего несколько сотен, это немного. Вероятно, просто их экспертиза исчерпала себя. Сообщество сделало и попробовало всё, что могло.

Во-вторых, все наши сервисы, заявленные в программе, русскоязычные, а большая часть аудитории платформы — англоговорящие багхантеры. Скорее всего, им просто было сложно ориентироваться в наших сервисах и не так интересно.

Также стоит обратить внимание и на сезонность активности. Многие багхантеры — студенты и даже школьники, из-за экзаменов и учебы их активность периодически может снижаться.

Мы решили посмотреть другие площадки, попробовать оценить рынок еще раз, но уже с опытом и пониманием кухни. К тому же мы заметили, что другие платформы предлагают больше услуг и сервисов.

Альтернативные варианты развития событий


На самом деле, в этой ситуации мы видели 3 возможных решения:
  • приостановить Bug Bounty программу,
  • организовать собственную Bug Bounty платформу для наших сервисов своими силами,
  • сменить платформу.

Вариант 1: приостановить Bug Bounty программу

Совсем завершать программу мы не хотели, так как были довольны результатами работы. Мы постоянно запускаем новые сервисы, поэтому помощь багхантеров необходима. К тому же, программа позволяет нам лучше понимать пользователей и совершенствовать свои продукты.

Вариант 2: организовать собственную Bug Bounty платформу

Что касается этого варианта — это очень сложно и требует больших сил. Необходимо создать локальную платформу, сформировать подробную и объективную программу поощрений, самостоятельно привлечь хакеров и, конечно, контролировать работу всей платформы. Звучит очень круто, но мы не были уверены, что готовы на это.

Вариант 3: сменить платформу (спойлер — наш выбор)

Итак, остается последнее — еще раз проверить, что есть на рынке платформ и выбрать подходящий вариант.

Теперь давайте по порядку…

Мы провели новый анализ и случайно наткнулись на Zerocopter. Вы слышали про этих ребят? Если честно, нам они не встречались до этого момента. Если бы нам кто-то рассказал про этих ребят раньше, мы были бы очень благодарны этому человеку, сэкономили бы деньги и время.

Zerocopter — это голландская компания, персонал и большинство багхантеров говорят на английском. На их сайте можно использовать только латиницу: программы, репорты, профили, описания и комментарии доступны только на английском. Но в команде есть русскоязычные сотрудники, так что проблем с решением вопросов не будет.

Цена или функционал? Все вместе!


При выборе новой платформы для нас было важно получить максимум функционала за те же деньги. К слову, на сайте Zerocopter просто разобраться в тарифных планах: на сайте сразу указана стоимость. Так бывает не всегда.

Цена ежемесячной подписки дешевле, а функционала даже больше.

Помимо классических программ, у нас есть возможность использовать автосканер уязвимостей. Еще одна полезная услуга — политика Responsible Disclosure.

Если наш клиент обнаружил уязвимость, он может просто заполнить форму на Zerocopter (ссылка на форму, опубликована на нашем сайте). Получается, что любой желающий может составить свой репорт, а не только зарегистрированный на платформе багхантер. На нашей прошлой платформе такой возможности не было. Это удобно: мы оцениваем репорт и ведем взаимодействие уже через Zerocopter.

Все финансовые операции мы можем также проводить через Bug Bounty платформу. Это большое преимущество для нашей бухгалтерии, упрощает отчетность.

Хантеров на нашей новой платформе больше, и главное — они другие! А значит, новый опыт, новые инструменты, знания и новые уязвимости!

Спустя полгода…


Прошло уже полгода, как мы работаем с Zerocopter. Возможно, итоги пока подводить рано. Но удалось решить нашу задачу: активность багхантеров возросла, общее количество репортов и количество валидных репортов увеличилось. Конечно, это позитивное изменение для нас. Благодаря новому сообществу мы получили 100+ репортов.

Понятно, что очень сложно оценить результат и эффективность платформы только по цифрам. Важны валидность репортов и уровень критичности. Однако мы понимаем, что количество существующих уязвимостей должно уменьшиться, все-таки мы уже 2 года в Bug Bounty программе.







Какие выводы мы для себя сделали?


Если вы запускаете Bug Bounty программу, попробуйте сформулировать, что для вас важно при выборе платформы.

Обратите внимание на следующие критерии:
  • русскоязычный менеджер и команда поддержки,
  • ценовая политика,
  • количество багхантеров,
  • активность багхантеров,
  • русская команда багхантеров (для работы с русскоязычными сервисами),
  • возможность самостоятельно установить размер наград (в зависимости от уровня критичности),
  • дополнительные полезные опции.

Ну и если активность багхантеров снизилась, возможно, виновата сезонность, а может быть просто стоит сменить платформу. Если регулярно анализировать рынок Bug Bounty платформ, можно быть в курсе новых функций и появившихся платформ. Уверены, вы найдете подходящий для вас вариант.

Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 1.4K
Комментарии Комментарии 1

Информация

Дата основания
Местоположение
Россия
Сайт
timeweb.com
Численность
201–500 человек
Дата регистрации