Security Lab

Конкурсы на поиск уязвимостей

Конкурсы на поиск уязвимостей
Конкурс – не новая, но набирающая популярность форма подтверждения устойчивости ко взлому программ, информационных систем и конфигураций. Она является альтернативой процедуре сертификации в профессиональной лаборатории. По сравнению с последней пентест-конкурс имеет такие преимущества:
  1. число тестировщиков больше, оно может достигать огромных величин;
  2. специализация тестировщиков шире;
  3. заказчик платит только за результат, если уязвимостей не найдено, платить не придётся;
  4. можно точнее оценить риски, например, если систему не взломали при размере премии 100 тыс. рублей, то в ней можно смело хранить ценности на эту сумму, зная, что злохакеры даже пытаться не будут.

Недостатки конкурса по сравнению с профессиональной сертификацией:
  1. для привлечения большого числа желающих потестировать требуется хорошая реклама;
  2. вряд ли удастся сохранить в тайне исходники, если только они использовались при тестировании;
  3. для сильнодырявых систем можно заплатить больше премий, чем было запланировано;
  4. сроки тестирования немного длиннее, чем в лаборатории.

Обратите внимание на первый недостаток. Нужна реклама, чтоб набежало достаточно много достаточно разносторонних доброхакеров. Величиной премий тут не компенсировать. О проводимом тестировании должны в короткие сроки узнать сотни компетентных людей, которые обычно уже чем-то заняты и не проводят дни в поисках подработки.

Отсюда с неизбежностью вытекает, что тестирование следует объявлять не каждому производителю отдельно, а через посредника-агрегатора. В одном месте следует сосредоточить все объявляемые конкурсы, именно это место рекламировать, именно туда завлекать знающих людей, а там уже предлагать несколько объектов для поиска уязвимостей. Производителям же следует нести свои продукты на тестирование в этот единый центр.

Кто может и кто готов стать таким центром? Есть предложения?

пентест сертификация проекты
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

InfoWatch

Блог компании infowatch infowatch.livejournal.com