На площадке AM Live прошла конференция, посвященная Bug Bounty. Такие программы поиска ошибок и уязвимостей за вознаграждение с широким привлечением специалистов со стороны открывают все больше компаний, в том числе и российских.При этом, как отметил руководитель продукта The Standoff Positive Technologies Ярослав Бабин, данный процесс невозможен без наличия некоего набора правил, по которым ресерчеры будут работать внутри компании.Как подчеркнул технический директор компании "Синклит" Лука Сафонов, Bug Bounty не является заменой для аудита информационной безопасности.Более того, применение таких программ возможно только при условии достижения определенного уровня зрелости ИБ.
Руководитель программы Bug Bounty холдинга VK Алексей Гришин также назвал задачей процесса не обнаружение единичных ошибок, а получение "потока багов".
Читать на smartmoney.one