В мире, где цифровые технологии пронизывают все аспекты жизни, безопасность разработки становится не просто важной, а критически необходимой. Однако с ростом сложности IT-решений и ускорением темпов обновлений обеспечить безупречную защиту данных и пользовательского опыта становится всё труднее. В таких условиях компании всё чаще обращаются к сообществу, запуская программы багхантинга — поиска уязвимостей силами внешних специалистов за вознаграждение.
Мы решили узнать, как российское IT-сообщество воспринимает багхантинг, и провели опрос среди читателей Хабра. Более 300 человек прошли тест до конца, около 1000 ответили на часть вопросов, что позволило нам составить портрет современного багхантера. Спасибо всем участникам! А теперь давайте разберёмся, что же удалось выяснить. В конце каждого раздела дадим галерею с итогами опроса, чтобы вы могли посмотреть на полное распределение процентов по ответам.
Кто такие багхантеры?
Большинство участников опроса (28,5%) — из Москвы (что ожидаемо).
По возрасту преобладала молодёжь и зрелые, но ещё не матёрые айтишники: 44% участников младше 30 лет, участники от 18 до 39 лет совокупно составили 70% респондентов.
В основном в опросе участвовали айтишники: 24% — джуны, 20% — мидлы, почти 20% — сеньоры. Также почти 20% участников имели опыт именно в сфере ИБ. Совсем без опыта в IT — только 12% опрошенных.
Среди профессий лидируют бэкэндеры (16%), тестировщики (14%) и пентестеры (10%), но в целом аудитория опроса получилась максимально разнообразной: девять категорий из предложенных четырнадцати собрали 5% ответов и более, все кроме одной категории (школьники) — больше 4%.
Что касается знаний о багхантинге, треть участников ничего о нём не знали, половина — осведомлены, но сами не занимаются, а 15,5% — опытные багхантеры.
Чем привлекателен багхантинг
Мы разделили участников на три группы: новички, осведомлённые и опытные. Все согласились, что главный плюс багхантинга — это возможность дополнительного заработка: 46% среди новичков, 24% среди осведомлённых и 31% среди опытных.
Для новичков на втором месте стоит возможность улучшить свои навыки. Эти два плюса лидируют с большим отрывом, следующие фавориты (возможность работать из любой точки мира, сложные задачи и развитие резюме) отстают более чем на 10%.
Опытные багхантеры также ценят возможность растить навыки, но для них как раз важнее возможность решать сложные задачи — на то они и опытные, уже прокачались.
У осведомлённой аудитории прокачка навыков занимает третье место.
Эти преимущества делают багхантинг привлекательным для 63% осведомлённых участников, которые выразили желание попробовать себя в этой сфере.
Наименее интересным аспектом для всех групп оказалась прокачка личного бренда. Среди опытных багхантеров этот вариант не выбрал вообще никто.
Таким образом, багхантинг предлагает те же преимущества, что и работа в IT в целом: это интересная, хорошо оплачиваемая деятельность, которая помогает развить резюме.
Участвовать в программах багбаунти опытных багхантеров привлекает приглашение в закрытые программы и приватные ивенты. Менее значимыми для них оказались бонусы к отчётам и мёрч, а наименее интересным — дополнительный рейтинг за критичность уязвимостей.
Оказывается, эксклюзивность — лучшая мотивация. Впрочем, учитывая, что опытных охотников за ошибками сильно привлекает возможность решать сложные задачи, это неудивительно.
А какие минусы?
Осведомлённые участники боятся, что их знаний будет недостаточно (36%), им сложно выбрать подходящую площадку, не нравится работать в сжатые сроки, не подходит нестабильность оплат (по 9% каждый вариант).
Опытные багхантеры сталкиваются и с более материальными проблемами: их работу могут не оплатить или оплатить недостаточно (23%), поток интересных задач нестабилен (19,6%). Уверенность в своих знаниях стоит на третьем месте в списке их беспокойств (14%): можно знать много, невозможно знать всё.
Возможные проблемы с законом (10%) и долгое рассмотрение отчётов (9%) указывают на то, что в сфере багхантинга ещё есть проблемы во взаимодействии специалистов и с компаниями, и с государством.
На острую проблему в работе с площадками указывают и ответы на другой вопрос, про позитивный опыт триажа. У каждого четвёртого крутого багхантера такого опыта не было за всё время работы. Цифра очень высокая, очевидная точка роста для всех площадок, хотя две ведущие (Standoff Bug Bounty и BI.ZONE) показывают хорошие результаты.
Интересно, что обе группы положительно оценивают сообщество багхантеров. Только 2% опытных и 3% осведомлённых респондентов считают его токсичным.
Откуда приходят в багхантинг?
Большинство опытных багхантеров пришли в сферу через участие в CTF (Capture the Flag) — соревнованиях по кибербезопасности. Таких более 15%. Чуть меньше, около 14%, узнали о багхантинге через программы Bug Bounty и сразу влились в них.
Примерно равное количество опытных багхантеров встали на этот путь, случайно обнаружив один-единственный баг или вдохновившись примером коллег (по 12,5%). Случайные баги даже чаще приводят людей в багхантинг, чем рабочие задачи по их поиску. А вот курсы, дающие знания в этой области, для опытной аудитории — наименее вероятная точка входа в профессию, как и профильные мероприятия, например, Positive Hack Days. Каждый вариант выбрали менее 2% респондентов.
Вероятная причина в том, что профильные мероприятия рассчитаны на уже вовлечённую аудиторию, а курсы по теме стали популярны сравнительно недавно и просто не существовали, когда большинство матёрых багхантеров только начинали свой путь.
Осведомлённая аудитория чаще всего знакомится с темой через статьи в интернете (30% опрошенных). CTF — сильно отстающее второе место (около 18%), третье делят задачи на платформах вроде PortSwigger, рассказы друзей/коллег и рабочие задачи.
Наименее популярные источники информации о багхантинге для осведомлённых юзеров — выступления экспертов и вновь курсы. Это потенциальные точки роста для вовлечения большего числа людей в сферу.
При этом CTF — наименее известный термин среди осведомлённых участников (его знают только 65% ответивших). Получается, что эти соревнования помогают по-новому заинтересовать свежую аудиторию, отличную от тех айтишников, которые уже более-менее знакомы с темой.
Будущее покажет, но, возможно, именно CTF — наиболее вероятная точка входа в профессию для новичков, которые пока не готовы участвовать в программах Bug Bounty.
А как прокачанные багхантеры наращивают знания в сфере?
В основном они используют Telegram-каналы (64%), специализированные сайты, форумы, Youtube, следят за тематическими хештегами и профилями в Твиттере. Здесь курсы показывают себя куда лучше: каждый десятый опрошенный использовал их для прокачки. К тьюторам и наставникам багхантеры со стажем не обращаются, Instagram также игнорируют.
Вывод простой: опытные охотники за ошибками стекаются в относительно небольшие профильные сообщества, нацеленные именно на обобщение и развитие знаний по теме. Популяризировать такие сообщества, показать большей аудитории, к кому и куда обращаться за советом — важный шаг для роста всей сферы.
Это поможет не только новичкам, но и двум третям осведомлённых участников опроса, которые хотели бы попробовать багхантинг. Ведь их пугает в том числе невозможность охватить собственными знаниями все возможные задачи и скоупы. А в хорошей компании, готовой подсобить недостающей информацией, заняться сложным делом куда проще!
Привычки опытных багхантеров
Как выяснилось по итогам опроса, для более чем половины участников багхантинг — работа или подработка. Ещё 32% занимаются охотой за ошибками как хобби, половина таких участников хочет сделать из хобби основную занятость. Только 10% готовы оценить эту сферу, как редкое увлечение.
Опытный багхантер действительно работает вечером и ночью, как и предполагает расхожий стереотип о неспящем хакере с пятью кружками кофе на столе. Наименее популярное время для поиска багов — утро.
Опытный багхантер готов подстраиваться под ситуацию: 62% опрошенных найдут ошибку и в выходной, и в отпуске на пляже, если это необходимо. 27% так и поступают регулярно, а для 3,6% это вообще основное время для поиска багов. Только 7% респондентов не готовы ни при каких условиях заняться охотой на отдыхе.
У наших респондентов поиск ошибок занимает очень разное количество времени: из пяти предложенных вариантов четыре собрали больше 15% голосов. Очевидно, нагрузка варьируется от человека к человеку. Однако интересно, что тратящих на багхантинг меньше четверти рабочего времени 55%.
Это на >10% больше, чем респондентов, для которых багхантинг — просто хобби или даже редкое увлечение. Выходит, что даже у тех, кто подрабатывает (или работает) багхантером сам процесс поиска ошибок порой занимает сравнительно мало времени.
Любимые сферы багхантеров — финтех и потребительский сектор (по 21% каждый вариант). Меньше всего они заботятся о безопасности образовательных и развлекательных платформ.
А самое популярное направление с огромным отрывом — поиск багов на сайтах и в веб-приложениях (64%). На втором месте бэкенд, а этичным взломом железа и мобильных приложений совокупно интересуются чуть больше 10% респондентов. То, что у мобильных приложений столь низкая популярность (3,6%) очень интересно: несмотря на всю смартфоноцентричность современного айти багхантеры эту область пока не полюбили.
Какие площадки для багхантинга знает аудитория?
Тройка лидеров у двух аудиторий одинаковая. Standoff Bug Bounty — на первом месте и у осведомлённой аудитории, и у багхантеров. На втором и третьем — BI.ZONE Bug Bounty и Hacker One.
Опытные респонденты показали высокую осведомлённость и заинтересованность: всеми крупными площадками багбаунти пользуется более 15% опрошенных, только три из восьми собрали меньше 25% голосов.
Конкретно Standoff 365 подтверждает свою популярность из прошлого вопроса: 67% опрошенных юзеров как минимум однажды нашли на ней уязвимость, почти 50% делают это регулярно. Не зарегистрированы меньше 20% участников опроса.
Треть осведомлённых по теме юзеров всё-таки не знает ни об одной площадке. Это может отчасти объяснять трудности с выбором, которые возникают у этого сегмента аудитории.
А среди знающих о площадках осведомлённость тоже высокая: меньше 20% —всего у двух площадок, и только Synack в списке набрала менее 10% ответов.
Так какой же он, современный опытный багхантер? Три портрета
Москвич, сеньор, 35 лет, сишарпер (и питонщик), для которого багхантинг — любимая подработка. Он багхантит по вечерам и ночью, иногда в выходные и праздники. Багхантинг занимает у него около 15 часов в неделю. Любит погружаться в бекенд, багхантит в финтехе, B2B и госсекторе. Он профессионал, который влился в эту работу, сразу пойдя в программу багбаунти. Читает каналы в ТГ и тематические сайты, чтобы быть в курсе событий в сфере. Пользуется сразу несколькими площадками: Standoff Bug Bounty, BI.ZONE Bug Bounty, Hackthebox. Ежемесячно проверяет площадки, на которых не зарегистрирован, в поисках свежих крутых задач. Со Standoff Bug Bounty у него был самый позитивный опыт триажа, его отчёты рассматривают быстро, платят по ним исправно. В этом помогает его уже наработанный опыт: на этой площадке он не только регулярно находит уязвимости, но и однажды выявил недопустимое событие. А ещё он уже несколько лет участвует в кибербитве.
Владимирец (самый популярный собственный ответ о родном городе), мидл+ на удалёнке, 29 лет. Багхантинг — его работа и призвание, он занимается в своей компании пентестами. Поэтому багхантит утром, днём и вечером, но больше всего — в рабочее время. Багхантинг занимает больше 50% его рабочего дня: часть времени всё-таки уходит на организационные вопросы, созвоны, постановку задач и другие таски. При этом в выходные и в праздники работу он не бросает: зарегистрирован на всех доступных в России площадках багбаунти и регулярно их чекает. Работает в основном на Standoff Bug Bounty и BI.ZONE Bug Bounty, где регулярно находит уязвимости и планирует в следующем году подать первую заявку на кибербитву. Его путь в багбаунти начался с того, что он захотел отвлечься от основной работы. Опыт триажа в целом позитивный и на Standoff Bug Bounty, и на BI.ZONE, хотя пару раз сталкивался с тем, что отчёты слишком долго рассматривают, а один раз оплату за уязвимость занизили.
Житель Санкт-Петербурга, мидл-тестировщик, полгода назад выросший из джунов, 27 лет. Мечтает превратить багхантинг из хобби в основную занятость, но пока времени на это занятие хватает только по ночам. По выходным и в праздники он бы и хотел багхантить, но сил после рабочей недели обычно не остаётся. Поэтому багхантит меньше 10 часов в неделю. В детстве смотрел кино про Нео и Джонни Мнемоника, хотел быть как они. Потом мечта угасла, но на работе познакомился с опытным коллегой, который круто багхантит — и снова загорелся стать этичным хакером. Пробует себя в разных программах: багхантит на сайтах, в мобильных приложениях, даже пробовал искать уязвимости в железе. То же и со сферами: сегодня B2B, завтра госсектор, послезавтра безопасность для безопасников в ИБ. Изначально багхантил на HackerOne, потому что эту платформу упоминал в разговоре вдохновивший коллега, потом пришёл на Standoff Bug Bounty. Пока нашёл только одну уязвимость и сдал по ней отчёт. Беспокоится, потому что его слишком долго рассматривают — боится, что где-то ошибся. На HackerOne находил уязвимости неоднократно, супер-позитивного опыта триажа не было, но обошлось и без негатива, пока что он о триаже как явлении вовсе не задумывается. Проходит курсы, чтобы набраться знаний, смотрит Youtube, читает специалистов в Твиттере и отслеживает их по хештегам.
Итог
Багхантинг перестаёт быть просто модным трендом и становится важным инструментом защиты данных и улучшения качества ПО. Наш опрос показал, что интерес к этой сфере растёт, и многие IT-специалисты готовы попробовать себя в роли багхантеров.
В будущем можно ожидать появления большего количества инициатив, курсов и образовательных программ, направленных на развитие багхантинга. Это откроет новые возможности для специалистов и поможет компаниям повысить уровень безопасности своих продуктов.
Багхантинг — это не только способ заработка, но и возможность решать сложные задачи, прокачивать навыки и вносить вклад в безопасность цифрового мира. И, судя по результатам опроса, это направление будет только развиваться.