Бесплатно Экспресс-аудит сайта:

24.11.2021

В поисках талантов IT-компании повышают суммы своих bug bounty

Компания GitLab повысила сумму вознаграждения за обнаруженные уязвимости в своих продуктах. Так, сумма вознаграждения за критические уязвимости увеличилась на 75% и теперь составляет $20-35 тыс., а за менее опасные - на 50%.

GitLab пополнила список компаний, увеличивших сумму вознаграждения для исследователей за обнаружение и сообщения об уязвимостях в их продуктах. За последние два года вознаграждение также увеличили Microsoft, Google и Atlassian.

Популярность bug bounty стала расти, поскольку компании увидели, как они подпитывают внутренние программы по поиску уязвимостей, снижают риски и в конечном итоге уменьшают стоимость обнаружения уязвимостей, сообщил вице-президент по безопасности GitLab Джонатан Хант (Johnathan Hunt) изданию Dark Reading.

Увеличивая сумму вознаграждения, GitLab идет нога в ногу со многими другими компаниями, специализирующимися на программном обеспечении. Год назад Microsoft увеличила максимальное вознаграждение за уязвимости в Windows до $100 тыс. и в течение года добавляла важные бонусы за уязвимости в различных приложениях и облачных сервисах.

У Microsoft есть 17 программ bug bounty, в рамках которых 341 исследователь представил в общей сложности 1261 квалификационный отчет об уязвимостях, заработав в общей сложности $13,6 млн.

В 2020 году Google почти вдвое увеличила сумму вознаграждения за уязвимости и выплатила $6,7 млн 662 исследователям. Максимальная сумма выплаченного вознаграждения за одну уязвимость составила $132,5 тыс.

В мае нынешнего года Atlassian удвоила сумму вознаграждения за уязвимости в ключевых продуктах до $10 тыс. Конкурент GitLab и Atlassian Bitbucket, сервис GitHub, выплатил исследователям $524 тыс. за сообщения о 203 уязвимостях. Максимальная сумма вознаграждения GitLab в настоящее время составляет $5 тыс. Это больше, чем предлагает GitHub, но, как заявляют в GitHub, она придерживается гибких политик, и в за особо опасные уязвимости может платить больше.

В настоящее время GitLab и другие компании разрабатывают стратегии по привлечению к анализу своих платформ самых талантливых исследователей. Однако увеличивать сумму вознаграждения за критических уязвимости для этого вовсе не обязательно, считает Хант.

"Что же до нас, то мы могли бы повысить сумму вознаграждения до $100 тыс., но таких уязвимостей в год обнаруживается всего несколько, поэтому, если бы мы сделали только это, то в итоге мы платили бы кучу денег только двум людям. Большинство человек не ловят уязвимости P1 (priority 1 issues - наиболее приоритетные уязвимости - ред.), это разочаровывает остальных, и они не хотят участвовать. Мы стремимся к увеличению вовлеченности по всем направлениям", - сообщил Хант.