Компания GitLab рассказала о том, что выплатила уже более 500 тысяч долларов исследователям. Разработчики сообщают, что их программа bug bounty принесла хорошие результаты и помогла улучшить безопасность. Их специалист по защите информации резюме Пермь также сообщает, что программа благотворно сказалась на кибербезопасности популярного веб-инструмента.
Какие уязвимости нашли специалисты, специалист по защите информации резюме Пермь
Программа начала работать еще в 2014 году, когда GitLab запустили ее на HackerOne. Сперва их bug bounty не предназначалась для широкого доступа. Она была полностью закрытой, попасть туда можно было только по специальным приглашениям. Интересен и тот факт, что за найденные ошибки сперва не предлагалось какое-либо вознаграждение. То есть каждый приглашенный специалист по защите информации собеседование Пермь действовал по собственной инициативе.
Из-за низкого охвата аудитории и отсутствия вознаграждения за достаточно сложную работу программа от GitLab не пользовалась особенным спросом. Ведь каждый специалист по защите информации средняя зарплата Пермь должен иметь возможность зарабатывать на своих талантах. Поэтому в конце 2017 года программа bug bounty была изменена. Теперь небольшое количество избранных партнеров сервиса получали небольшое вознаграждение.
Но, конечно, были необходимы радикальные перемены. В конце 2018 года каждый специалист по информационной безопасности в банке Пермь, который хотел принять участие в улучшении разработки веб-инструмента получил такую возможность. Разработчики анонсировали следующие изменения в своей программе bug bounty:
- оплата каждой найденной уязвимости;
- возможность сотрудничать без специального приглашения;
- отсутствие юридических мер против специалистов.
Теперь абсолютно все желающие могут попробовать свои силы в поиске уязвимостей.
Кто может искать уязвимости
Стоит отметить, исследователю предлагают качественно взломать систему. Более того, получить доступ к данным или же нарушить работу сервиса своими действиями. Если получится, компания обещает не применять по отношению к нему никаких юридических мер. Важно отметить, что многие специалисты, работающие с bug bounty, стараются помогать только тем компаниям, которые обещают отсутствие судебного преследования за взлом в целях улучшения системы безопасности.
Однако, за последний год в программе приняли участие 513 исследователей. Потому они смогли сообщить о 171 уязвимости, которые уже ликвидированы. В итоге компания выплатила исследователям за находки 565 тысяч долларов в рамках вознаграждения.
Руководители проекта отмечают, что не ожидали подобных результатов. Они считали свой продукт достаточно защищенным и были удивлены количеством недочетов, которые требовали немедленного исправления.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.