С начала запуска проекта в 2014 исследователи обнаружили более 140 тыс. уязвимостей на web-сайтах.
Некоммерческий проект Open Bug Bounty по раскрытию уязвимостей web-сайтов представил итоги своей работы и внес некоторые изменения в процедуру раскрытия уязвимостей.
С начала запуска проекта в 2014 году его участниками стали 3 424 исследователя безопасности. С их помощью были раскрыты 140 380 уязвимостей на 141 828 сайтах (в том числе 15 043 VIP-ресурсах), из которых была исправлена 72 271 проблема, что составляет немного больше половины от всех обнаруженных уязвимостей.
Как сообщается на сайте проекта, ради сохранения целостности сообщества и ценностей Open Bug Bounty в процедуру раскрытия уязвимостей были внесены некоторые изменения. Во-первых, процесс раскрытия больше не предполагает обязательного Full Disclosure. «Full Disclosure весьма непопулярно среди нашего сообщества (менее 1% заявок), поэтому мы думаем, что оно больше не является обязательным», - говорится на сайте.
Во-вторых, отныне окно для раскрытия подробностей об уязвимости составляет 90 дней. В случае исправления уязвимости промежуток времени между ее обнаружением и раскрытием сокращается до 30 дней.
Вознаграждение теперь будет выдаваться за координированное раскрытие уязвимостей и различные технические достижения, например, за интересные техники обхода межсетевых экранов прикладного уровня (WAF).
Open Bug Bounty – некоммерческий проект, призванный объединить исследователей безопасности и владельцев web-сайтов с целью сделать интернет безопаснее без существенных или необоснованных затрат со стороны владельцев интернет-ресурсов. Координированная программа раскрытия уязвимостей позволяет любому исследователю сообщать об уязвимостях на любом сайте при условии, если проблемы были обнаружены без использования инвазивных методов и раскрыты в соответствии с требованиями ответственного раскрытия уязвимостей.
Большой взрыв знаний каждый день в вашем телефоне