Открыть награду за обнаружение ошибок

Open Bug Bounty — это некоммерческая платформа по обнаружению ошибок, созданная в 2014 году. Скоординированная платформа раскрытия уязвимостей позволяет независимым исследователям безопасности сообщать о XSS и аналогичных уязвимостях безопасности на любом обнаруженном ими веб-сайте, используя методы неинтрузивного тестирования безопасности. ^[1] Исследователи могут либо опубликовать подробности об уязвимостях в течение 90 дней с момента подачи заявления об уязвимости, либо сообщить их только операторам веб-сайта. Программа ожидает, что операторы пострадавшего веб-сайта вознаградят исследователей за их отчеты.

Программа

В отличие от коммерческих программ вознаграждения за обнаружение ошибок, Open Bug Bounty является некоммерческим проектом и не требует оплаты ни со стороны исследователей, ни со стороны операторов веб-сайтов. Любая награда является предметом соглашения между исследователями и операторами веб-сайта. Heise.de определил, что веб-сайт может стать средством шантажа операторов веб-сайтов угрозой раскрытия уязвимостей, если вознаграждение не будет выплачено, но сообщил, что Open Bug Bounty запрещает это. ^[2]

Open Bug Bounty был запущен частными энтузиастами безопасности в 2014 году и по состоянию на февраль 2017 года зафиксировал 100 000 уязвимостей, из которых 35 000 были исправлены. ^[3] Он вырос из веб-сайта XSSPosed, архива уязвимостей межсайтового скриптинга . ^[4]

В феврале 2018 года на платформе было исправлено 100 000 уязвимостей с использованием скоординированной программы раскрытия информации, основанной на рекомендациях ISO 29147. ^[5]

До конца 2019 года платформа сообщила о 272 020 исправленных уязвимостях с использованием программы скоординированного раскрытия информации, основанной на рекомендациях ISO 29147. ^[6]

Ссылки

^ «Open Bug Bounty: 100 000 исправленных уязвимостей и ISO 29147» . Техночервь . Проверено 19 февраля 2018 г.
^ «Открытие Bug Bounty: уязвимости для Bounty» . Heise Security (на немецком языке). 12 января 2017 года . Проверено 4 января 2018 г.
^ «Open Bug Bounty — альтернативная платформа коллективной безопасности для исследователей безопасности» . Техчервь . 14 февраля 2017 года . Проверено 21 декабря 2017 г.
^ «XSSPosed запускает программу Open Bug Bounty за веб-бреши» . СК Медиа Великобритания . 6 июля 2015 года . Проверено 21 декабря 2017 г.
^ «Некоммерческая организация Open Bug Bounty объявляет о 100 тысячах исправленных уязвимостей» . СК Медиа . Проверено 23 февраля 2018 г.
^ «Краткий обзор рекордного роста Open Bug Bounty в 2019 году» . openbugbounty.org . 16 января 2020 г. Проверено 27 июля 2019 г.

Внешние ссылки

Официальный сайт

[1] «Open Bug Bounty: 100 000 исправленных уязвимостей и ISO 29147» . Техночервь . Проверено 19 февраля 2018 г.

[2] «Открытие Bug Bounty: уязвимости для Bounty» . Heise Security (на немецком языке). 12 января 2017 года . Проверено 4 января 2018 г.

[3] «Open Bug Bounty — альтернативная платформа коллективной безопасности для исследователей безопасности» . Техчервь . 14 февраля 2017 года . Проверено 21 декабря 2017 г.

[4] «XSSPosed запускает программу Open Bug Bounty за веб-бреши» . СК Медиа Великобритания . 6 июля 2015 года . Проверено 21 декабря 2017 г.

[5] «Некоммерческая организация Open Bug Bounty объявляет о 100 тысячах исправленных уязвимостей» . СК Медиа . Проверено 23 февраля 2018 г.

[6] «Краткий обзор рекордного роста Open Bug Bounty в 2019 году» . openbugbounty.org . 16 января 2020 г. Проверено 27 июля 2019 г.

[1]

[2]

[3]

[4]

[5]

[6]