Страницы

Сервис публикации bugbounty программ BugHunt

Сегодня мы запускаем наш новый офигенный сервис - BugHunt.

Сервис позволяет запустить bugbounty программу в любой организации (да хоть у ИП!), так как все юридические и технические сложности мы берем на себя. Для багхантеров сервис будет полезен тем, что освободит их от необходимости пробиваться через спам-фильтры, уберет Дамоклов меч в виде УК РФ, и гарантирует выплату вознаграждений за найденные дыры. Для организаций появится отличная возможность проверить свой сайт, потратив на это гораздо меньше денег, чем стоит пентест у организации-аудитора (и с большим КПД!).


Как это работает?

Мы заключаем договор с организацией и разрабатываем для неё уникальную программу вознаграждения за найденные уязвимости на сайте организации (bugbounty). У каждой программы есть ограничения в виде срока действия, общего призового фонда, участвующих доменов/поддоменов и другие. Мы публикуем программу на портале BugHunt, привлекаем к участию в программе независимых исследователей и обрабатываем отчеты, которые они нам присылают. После этого мы направляем организации итоговый отчет, содержащий информацию обо всех найденных дырах и рекомендации по их устранению. Организация выплачивает исследователям вознаграждение по заранее определенным тарифам: за серьезные дыры - больше, за несерьезные, соответственно, меньше (тарифы устанавливает сама организация) в рамках общего призового фонда. Обязательства и объемы выплат фиксируются в договоре между организацией и сервисом BugHunt.
Вот я даже нарисовал такую картинку, чтоб было понятней.

В чем преимущества для исследователя?

  • Порой багхантер тратит больше времени (и нервов) на то, чтобы достучаться до суппорта, чем на поиски самих уязвимостей. Это неправильно. Оставь бюрократию нам, а сам делай то, что умеешь лучше всего;
  • РосИнтеграция имеет лицензии ФСТЭК/ФСБ на деятельность по защите информации. Это даёт нам законное право заниматься оценкой защищённости информационных систем (а те, у кого лицензий нет, соответственно этого права лишены);
Вот хорошая картинка, иллюстрирующая будни багхантера...

  • Все программы собраны в одном месте. О публикации новой программы ты будешь узнавать первым из твиттера;
  • Система рейтингов, удобный личный кабинет, уведомления на почту о статусе отчета, масса различных контактов для связи и многое другое!
PS. У нас больше дырок, если сравнивать с Яндексом, Гуглом и др. :). Программы, которые мы публикуем на БХ, запускаются впервые!

В чем преимущества для организации-владельца интернет сайта?

  • Платите за найденные дыры, а не за "человеко-дни" или красивый отчет. На время старта проекта у нас действует акция: бесплатная разработка и публикация программы! Это значит, что если на вашем сайте не найдут уязвимостей, вы не заплатите ни копейки за аудит вашего сайта.
  • Привлеките к работе всё сообщество, а не единственную компанию-аудитора! Не надейтесь на репутацию аудитора, только открытое тестирование на ваших условиях даст вам гарантии безопасности. Да и те же самые сотрудники компании-аудитора могут в свободное время подрабатывать и в БагХанте за гораздо более скромные суммы ;).
Мы действительно постарались предусмотреть всё, чтобы создать организациям максимально комфортные условия. Задавайте свои вопросы! (форма, почта, twitter, fb, форум).

PS. Распространите, пожалуйста, ссылку на БагХант среди знакомых, которые любят искать дырки. У нас там уже есть первая программа! Давайте вместе сделаем вознаграждение за найденные уязвимости стандартом для любой организации, заботящейся о безопасности своего сайта и посетителей.


Комментариев нет:

Отправить комментарий