GitLab выплатили 500 тысяч долларов по программе bug bounty, специалист по защите информации резюме Пермь

GitLab выплатили 500 тысяч долларов по программе bug bounty, специалист по защите информации резюме Пермь

Статьи

Компания GitLab рассказала о том, что выплатила уже более 500 тысяч долларов исследователям. Разработчики сообщают, что их программа bug bounty принесла хорошие результаты и помогла улучшить безопасность. Их специалист по защите информации резюме Пермь также сообщает, что программа благотворно сказалась на кибербезопасности популярного веб-инструмента.

Какие уязвимости нашли специалисты, специалист по защите информации резюме Пермь

Программа начала работать еще в 2014 году, когда GitLab запустили ее на HackerOne. Сперва их bug bounty не предназначалась для широкого доступа. Она была полностью закрытой, попасть туда можно было только по специальным приглашениям. Интересен и тот факт, что за найденные ошибки сперва не предлагалось какое-либо вознаграждение. То есть каждый приглашенный специалист по защите информации собеседование Пермь действовал по собственной инициативе.

Из-за низкого охвата аудитории и отсутствия вознаграждения за достаточно сложную работу программа от GitLab не пользовалась особенным спросом. Ведь каждый специалист по защите информации средняя зарплата Пермь должен иметь возможность зарабатывать на своих талантах. Поэтому в конце 2017 года программа bug bounty была изменена. Теперь небольшое количество избранных партнеров сервиса получали небольшое вознаграждение.

Но, конечно, были необходимы радикальные перемены. В конце 2018 года каждый специалист по информационной безопасности в банке Пермь, который хотел принять участие в улучшении разработки веб-инструмента получил такую возможность. Разработчики анонсировали следующие изменения в своей программе bug bounty:

  • оплата каждой найденной уязвимости;
  • возможность сотрудничать без специального приглашения;
  • отсутствие юридических мер против специалистов.

Теперь абсолютно все желающие могут попробовать свои силы в поиске уязвимостей.

Кто может искать уязвимости

Стоит отметить, исследователю предлагают качественно взломать систему. Более того, получить доступ к данным или же нарушить работу сервиса своими действиями. Если получится, компания обещает не применять по отношению к нему никаких юридических мер. Важно отметить, что многие специалисты, работающие с bug bounty, стараются помогать только тем компаниям, которые обещают отсутствие судебного преследования за взлом в целях улучшения системы безопасности.

Однако, за последний год в программе приняли участие 513 исследователей. Потому они смогли сообщить о 171 уязвимости, которые уже ликвидированы. В итоге компания выплатила исследователям за находки 565 тысяч долларов в рамках вознаграждения.

Руководители проекта отмечают, что не ожидали подобных результатов. Они считали свой продукт достаточно защищенным и были удивлены количеством недочетов, которые требовали немедленного исправления.

Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.