Security Lab

Конкурсы на поиск уязвимостей

Конкурсы на поиск уязвимостей
Конкурс – не новая, но набирающая популярность форма подтверждения устойчивости ко взлому программ, информационных систем и конфигураций. Она является альтернативой процедуре сертификации в профессиональной лаборатории. По сравнению с последней пентест-конкурс имеет такие преимущества:
  1. число тестировщиков больше, оно может достигать огромных величин;
  2. специализация тестировщиков шире;
  3. заказчик платит только за результат, если уязвимостей не найдено, платить не придётся;
  4. можно точнее оценить риски, например, если систему не взломали при размере премии 100 тыс. рублей, то в ней можно смело хранить ценности на эту сумму, зная, что злохакеры даже пытаться не будут.

Недостатки конкурса по сравнению с профессиональной сертификацией:
  1. для привлечения большого числа желающих потестировать требуется хорошая реклама;
  2. вряд ли удастся сохранить в тайне исходники, если только они использовались при тестировании;
  3. для сильнодырявых систем можно заплатить больше премий, чем было запланировано;
  4. сроки тестирования немного длиннее, чем в лаборатории.

Обратите внимание на первый недостаток. Нужна реклама, чтоб набежало достаточно много достаточно разносторонних доброхакеров. Величиной премий тут не компенсировать. О проводимом тестировании должны в короткие сроки узнать сотни компетентных людей, которые обычно уже чем-то заняты и не проводят дни в поисках подработки.

Отсюда с неизбежностью вытекает, что тестирование следует объявлять не каждому производителю отдельно, а через посредника-агрегатора. В одном месте следует сосредоточить все объявляемые конкурсы, именно это место рекламировать, именно туда завлекать знающих людей, а там уже предлагать несколько объектов для поиска уязвимостей. Производителям же следует нести свои продукты на тестирование в этот единый центр.

Кто может и кто готов стать таким центром? Есть предложения?

пентест сертификация проекты
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

InfoWatch

Блог компании infowatch infowatch.livejournal.com