Adobe запустила программу по обнаружению уязвимостей

Компания Adobe запустила программу по обнаружению уязвимостей. В отличие от аналогичных проектов других производителей ПО, компания не будет выплачивать исследователям и хакерам, нашедшим новые бреши в web-приложениях, денежное вознаграждение.

Программа от Adobe нацелена на выявление и устранение уязвимостей, позволяющих осуществить межсайтовый скриптинг и подделку межсайтовых запросов. Помимо этого, компания уделит внимание ошибкам авторизации или аутентификации, разнообразным инъекциям, обходу каталогов, раскрытию важных данных, обходу ограничений безопасности или заметным ошибкам в параметрах безопасности. Отметим, что Adobe будет игнорировать незначительные бреши наподобие малоопасных CSRF-атак, проблем со ссылками для сброса пароля, отсутствующих заголовков безопасности HTTP или флагов в малозначимых файлах cookie.

«В знак признания важной роли исследователей безопасности в обеспечении защищенности наших продуктов для конечных пользователей Adobe запускает программу по обнаружению уязвимостей в web-приложениях на основе платформы HackerOne», заявил менеджер по программе безопасности Adobe Питерс Окерс (Pieters Ockers) в блоге компании.

В то же время исследователи не будут получать денежные вознаграждения за выявленные ими бреши. Единственный вид награды, по словам Окерса – увеличение репутации в HackerOne.

По некоторым данным, отсутствие денежных вознаграждений в программе Adobe очень просто объяснить. Так, по версии The Register, в продуктах компании настолько большое количество уязвимостей, что выплата вознаграждений за их обнаружение может сделать компанию банкротом.

Платформа HackerOne используется такими компаниями, как Twitter, Yahoo!, CloudFlare и остальными для поиска уязвимостей. В рамках большинства программ по обнаружению брешей исследователям предлагается денежное вознаграждение. Так, недавно аналогичную кампанию запустили представители AirBnB.