Программы Bug Bounty назвали неэффективными для организаций

image

Теги: Bug Bounty, HackerOne, уязвимость

Вопреки бытующему мнению, программы вознаграждения, в которых участвует большое количество исследователей, не приносят организациям большой пользы.

Организациям более выгодно напрямую нанимать исследователей в области безопасности, чем запускать программы вознаграждение за найденные уязвимости. К такому выводу пришли специалисты Массачусетского технологического института (MIT) по итогам проведенного исследования .

Исследователи изучили программу вознаграждений Facebook, а также более 60 программ, запущенных на платформе HackerOne для Twitter, Coinbase, Square и других компаний.

Как выяснилось, вопреки бытующему мнению, программы вознаграждения, в которых участвует большое количество исследователей, не приносят организациям большой пользы. Как правило, только малая часть экспертов предоставляет большое количество качественных отчетов об уязвимости. Именно к ним уходит значительная часть призового фонда.

Согласно исследованию, семь наиболее «продуктивных» участников программы Facebook зарабатывали всего $34 255 в год при обнаружении в среднем 0,87 ошибок в месяц, а в случае с программами на HackerOne лидеры зарабатывали только $16 544 при выявлении 1,17 ошибок в месяц в среднем.

Безусловно, бывают исключения. К примеру, компания Zerodium, специализирующаяся на купле-продаже эксплоитов на различных платформах, недавно увеличила сумму награды за эксплоиты для багов в iOS до $2 млн. Тем не менее для многих исследователей в области безопасности программы вознаграждения являются, скорее, дополнением к зарплате, чем основным источником заработка.


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.