Бесплатно Экспресс-аудит сайта:

03.02.2022

Cloudflare запустила открытую программу bug bounty

Специализирующаяся на безопасности web-инфраструктуры и сайтов американская компания Cloudflare объявила о запуске открытой программы выплаты вознаграждений за обнаруженные уязвимости в ее продуктах (bug bounty).

С 2014 года и до недавнего времени в компании действовала программа раскрытия уязвимостей без денежного вознаграждения. В рамках этой программы Cloudflare получила 1197 сообщений об уязвимостях, но только 13% из них оказались действительными, поскольку многие исследователи толком не понимали ее инфраструктуру и продукты.

В 2018 году Cloudflare запустила закрытую программу bug bounty. По состоянию на середину января 2022 года общая сумма выплаченных вознаграждений в рамках этой программы составила $211,512 тыс.

Перед запуском новой открытой программы компания также выпустила песочницу для тестирования CumlusFire, предоставляющую исследователям безопасности стандартизированную площадку для тестирования эксплоитов.

Об обнаруженных уязвимостях можно сообщать через платформу HackerOne. Самое маленькое вознаграждение в размере $100 компания готова платить за малоопасные уязвимости (0,1-3,9 балла по шкале CVSS3), а самое большое ($3 тыс.) – за критические уязвимости (9-10 баллов по шкале CVSS3) в основных продуктах.

Больше информации о продуктах Cloudflare исследователи могут найти в документации для разработчиков, документации API, Учебном центре (Learning Center) и на форумах техподдержки компании.