![]()
Sender
V.I.P. |
Зарегистрирован: 19.05.2006
Сообщений: 3806
|
Обратиться по нику
|
| Sender |
Ответить с цитатой | | |
|
Программа Bug Bounty компании Google стала одной из наиболее успешных программ финансового вознаграждения за независимые исследования в своем роде. Со временем компания расширяется и меняется в соответствии с переменами, происходящими в отрасли. Для некоторых видов уязвимостей Google увеличил вознаграждение в несколько раз. И теперь компания делает это снова, поднимая нижнюю планку награды от 1000 до 5000 долларов.
За последние пару месяцев это уже второе увеличение вознаграждения за исследование уязвимости. В июне Google повысил цену за обнаружение уязвимостей Cross-Site Scripting в своих веб-приложениях до 7500 долларов. До такого же уровня выросла награда и за варианты обхода аутентификации. Теперь Google предлагает своим пользователям дополнительный стимул заняться поиском серьезных уязвимостей в своем браузере Chrome.
«Сегодня значительно увеличивается вознаграждение за программу Chromium. Вкратце: баги, за которые раньше выплачивалось вознаграждение около 1000 долларов, теперь будут оцениваться более чем в 5000 долларов. Во многих случаях награда вырастет более чем в 5 раз! Мы будем платить больше за баги, которые, по нашему мнению, представляют собой более серьезную угрозу для безопасности наших пользователей, а также в том случае, если исследователь багов предоставит нам полный анализ найденных уязвимостей и обоснует их значимость. Мы продолжим выплату дополнительных премий, как это было объявлено ранее, как, например, за программное обоснование патча или поиск решения в критических участках ПО с открытым кодом», — сообщили Крис Эванс (Chris Evans) и Адам Мэйн (Adam Mein) из команды компьютерной безопасности Google.
После объявления о новых размерах вознаграждений за исследования Google продемонстрировал, что с момента запуска программы Bug Bounty компания уже выплатила более 2 миллионов призовых долларов. На сегодняшний день Google успешно поддерживает две отдельные программы Bug Bounty: одна — для приложений, таких как Gmail, и другая — для Chrome и Chrome OS. Компания уже выплатила более 1 миллиона долларов по каждой из них.
Google вошел в первую волну крупных поставщиков программного обеспечения, запустивших Bug Bounty. С тех пор многие компании последовали его примеру. Совсем недавно, в июне, стартовала программа Bug Bounty от Microsoft, идея которой немного отличается от традиционного подхода. Она предлагает вознаграждение до 100 000 долларов за обнаружение новых видов атак, которые смогут обойти защиту современного браузера. Идея Microsoft вызвала волну обсуждений, особенно в Редмонде, на тему эффективности программ Bug Bounty и того, за что правильно награждать, а за что нет. Ранее, этим летом, исследователи из Калифорнийского университета в Беркли опубликовали результаты исследования, согласно которым программы Bug Bounty позволяют поставщикам ПО сэкономить огромные суммы денег за несколько лет по сравнению со стоимостью найма на полный рабочий день штатных исследователей, которые точно так же будут заниматься поиском багов.
«Мы считаем, что VRPs (программы поиска уязвимостей — Vulnerability Reward Programs) — это экономически эффективный механизм обнаружения уязвимостей с разумным компромиссным соотношением «затраты/выгода». В частности, такие программы являются в 2—100 раз более рентабельными, чем наем исследователей или экспертов в области компьютерной безопасности для поиска уязвимостей. Поэтому мы рекомендуем и другим поставщикам ПО рассмотреть возможность использования аналогичных программ с выгодой для себя и своих пользователей», — отмечается в документе, подписанном Мэттью Финифтером (Matthew Finifter), Девдаттой Ахейвом (Devdatta Akhawe) и Дэвидом Вагнером (David Wagner).
http://threatpost.ru/2013/08/16/google-uvelichil-nagradu-za-obnaruzhenie-bagov-v-5-raz/#sthash.IliqJ8iw.dpuf |
|
|
|
|
