Финансовая эффективность программ Bug Bounty для разработчиков

Финансовая эффективность программ Bug Bounty для разработчиков
О программах Bug Bounty слышали многие. Это программа финансового вознаграждения, получаемого независимыми исследователями, находящими уязвимости в программном обеспечении того или иного производителя. Такие программы есть у многих компаний - Facebook, Microsoft, Google, Avast, PayPal, Mozilla, Qiwi, Yandex. И это только верхушка айсберга - наиболее полный список приведен на сайте Bugcrowd .

Часто возникает вопрос, в чем смысл запуска такой программы? Зачем платить кому-то деньги, если можно нанять в QA-департамент грамотных исследователей, которые за зарплату будут ежедневно искать дыры и это никогда не станет достоянием общественности? Так-то оно так, но с финансовой точки зрения оказалось, что программы Bug Bounty имеют вполне себе измеримую пользу в денежном выражении. Например, Google и Mozilla затратили за 3 года действия своих программ около 400 тысяч долларов, что меньше, чем инвестиции в специалистов, которые за эти же три года смогли бы найти такое же количество уязвимостей.

Разумеется речь идет о достаточно высокооплачиваемых специалистам, годовой доход которых может достигать 80-100 тысяч долларов. Уже 2 штатных специалиста, занятых поиском уязвимостей, обойдутся компании-разработчику дороже, чем выплата по программе Bug Bounty. А ведь еще стоит учитывать и различные отчисления, которые могут увеличить "стоимость" специалиста в 2-3 раза по сравнению с "чистой" зарплатой.

Значит ли это, что работать исследователем в компаниях, производителях ПО, невыгодно и лучше уйти на вольные хлеба, занимаясь самостоятельными исследованиями. Увы, нет. Согласно последнему исследованию "An Empirical Study of Vulnerability Reward Programs", наиболее удачливый фрилансер смог "заработать" у Google немногим больше 105 тысяч долларов, а лидер у Mozilla - около 140 тысяч долларов в год (до вычета налогов). И это верхушка списка. На самом деле средний заработок исследователя-фрилансера гораздо ниже. Большинство внешних исследователей Mozilla получили от 3-х до 6-ти тысяч долларов, а у Google и того меньше - от 500 до 1000 долларов.

Что в итоге? Для компании-разработчика - создание Bug Bounty является выгодной затеей. За меньшие деньги она получает больший результат. А вот для внешних исследователей делать ставку только на такой способ зарабатывания денег не стоит - это скорее подработка или хобби, чем способ заработать себе на хлеб с маслом.
SDLC экономика цена безопасности
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.