Строгость EULA компенсируется сложностью доказать нарушения

https://www.comnews.ru/content/222787/2022-10-27/2022-w43/praktika-bug-…Однако, как подчеркнула руководитель QA-отдела ИТ-компании SimbirSoft Галина Яшина, такой практикой пользуются только самые крупные ИТ-компании из-за высокой цены: "Согласно аналитике Tadviser, "Яндексу" такие исследования обошлись в 30 млн.руб.

VK в 2022 г. потратила на Bug Bounty около 185 млн руб.". Хотя, по ее мнению, практика Bug Bounty стала востребованным инструментом.Руководитель департамента информационной безопасности АО ИВК Игорь Корчагин напомнил, что тестирование кода на уязвимости, в том числе с помощью Bug Bounty прямо подпадает под формальные требования к разработке безопасного программного обеспечения.Да и заказчики, по его наблюдениям, все чаще интересуются, проводит ли вендор исследования безопасности кода, в том числе с привлечением внешних экспертов.Как отметил руководитель направления перспективных исследований ГК "Астра" Роман Мылицын, выступая на конференции "Лучшие практики наступательной безопасности (Offensive Security)", использование bug bounty требует от разработчика ПО внесения изменений в пользовательское соглашение (EULA, End User License Agreement, лицензионное соглашение для конечных пользователей), которое обычно прямо запрещает дизассемблирование и прочие действия, используемые в ходе поиска уязвимостей.По его оценке, участники программ подвергаются серьезному риску при нарушении норм, заложенных в EULA.

В итоге, как подчеркнул Роман Мылицын, проблемные положения пришлось изменить, а какие-то даже полностью убрать, и на эту работу потребовалось около 2 лет.