Американская компания Cloudflare, специализирующаяся на веб-инфраструктуре и безопасности сайтов, сообщила в блоге о запуске открытой программы поиска ошибок.
Отчеты об ошибках пользователи могут отправлять через профиль Cloudflare на HackerOne. Также на странице для разработчиков доступна документация по API, информация по работе с различными внутренними сервисами Cloudflare, обучающие материалы, песочница и форум.
Награды вручаются согласно рейтингу оценки уязвимостей CVSSv3, список представлен ниже:
Опасность | Критическая (9.0 - 10.0) | Высокая (7.0 - 8.9) | Средняя (4.0 - 6.9) | Низкая (0.1 - 3.9) |
---|---|---|---|---|
Высокий приоритет | $3000 | $1000 | $500 | $250 |
Низкий приоритет | $2700 | $750 | $350 | $200 |
Другое | $2100 | $500 | $200 | $100 |
Это уже третий запуск программы bug bounty от Cloudflare. Первый пришелся на 2014 год. За время существования инициативы компания получила 1 197 отчетов, но достоверными оказались только 13% обращений от общего количества. Cloudflare не предоставляла подробности о работе своих сервисов и исследователи не могли отличить ошибку от запланированного сценария. Также по программе не выплачивались денежные средства — энтузиасты получали в подарок брендированные футболки.
К 2018 году Cloudflare создала базу знаний о своих продуктах и запустила частную программу поиска ошибок. К середине января 2022 года компания выплатила вознаграждения на сумму 211 тыс. долларов по 292 отчетам из 430.
Сейчас bug bounty открыли для всех желающих и представители Cloudflare пообещали постоянно дополнять базу знаний новой информацией.