Программа вознаграждения за ошибки
-
Программы вознаграждения за ошибки
- Программы предлагают признание и компенсацию за сообщения об ошибках в системах безопасности.
- Разработчики используют их для обнаружения и устранения уязвимостей до их публичного обнаружения.
- Организации, включая технологические гиганты и правительственные учреждения, внедрили эти программы.
-
История и примеры
- Первая известная программа была запущена в 1981 году, предлагая Volkswagen Beetle за обнаружение ошибок.
- В 1995 году Netscape Communications Corporation начала программу «Награда за ошибки» для своего браузера.
- Facebook и Uber столкнулись с критикой за свои программы вознаграждения, включая случаи, когда исследователи не получали вознаграждение за обнаруженные ошибки.
-
География и известные программы
- США и Индия являются лидерами по количеству отправленных ошибок и полученных вознаграждений.
- Google расширила свою программу вознаграждения за уязвимости, включив в нее приложения, доступные через Google Play Store.
- Microsoft и Facebook объединились для запуска программы Internet Bug Bounty, охватывающей широкий спектр программного обеспечения.
- Пентагон запустил программу «Взломай Пентагон» в 2016 году, выплатив более 71 000 долларов.
- Европейская комиссия объявила о программе EU-FOSSA 2 в 2019 году, направленной на вознаграждение за ошибки в популярных проектах с открытым исходным кодом.
-
Критика и инициативы
- Некоторые программы критикуются за то, что они препятствуют публичному раскрытию уязвимостей.
- Open Bug Bounty — массовая программа, позволяющая частным лицам сообщать об уязвимостях в веб-сайтах и веб-приложениях.