ЦБ 17.10
$71.24
82.73
ММВБ 17.10
$73.2
86.68
Эко_Моб

Охота на баги

Впервые, идея охоты на ошибки (баги) за вознаграждение была реализована в начале 90-х годов прошлого века. Сначала, данная программа применялась внутри зарубежных компаний, а премия выплачивалась только своим сотрудникам. С развитием сети Интернет и ростом популярности веб-приложений право на вознаграждение за поиск ошибок и уязвимостей получили и сторонние специалисты. Сегодня поговорим об условиях, которые необходимо выполнить компании до запуска программы «охота за ошибками».

Error - Фото: PagDev / unsplash - Источник

Сначала о преимуществах программы. Выплата награды позволяет привлечь к тестированию множество людей из разных стран, опыт и знания которых гарантируют проведение более глубокого анализа веб-приложений на наличие ошибок и уязвимостей. Использование данной программы дает возможность экономить деньги на проведение тестов на проникновение. Обычно, подобные предложения компании публикуют на своих веб-сайтах или специализированных площадках по охоте за ошибками. В них указываются допустимые пределы внешнего влияния на тестируемый объект, обязательно оговаривается процесс документирования найденных ошибок и, конечно, процедура выплаты вознаграждения за работу. Но есть также и целый ряд условий, которые необходимо выполнить до объявления наград.

Прежде всего, надо понимать, что с момента начала охоты на ошибки, нагрузка на инфраструктуру и веб-приложение может существенно вырасти, что в свою очередь приведет к сбоям в работе. Одно дело, когда веб-приложение аккуратно взламывается группой нанятых пентестеров и совсем другое, когда это делают десятки или сотни людей, незнакомых друг с другом. При этом нагрузка на сайт будет расти пропорционально популярности вашей компании.

Использовать программу «охоты за ошибками для веб-приложений», которые предварительно и должным образом не были защищены, бессмысленно. Процесс превратиться в обыкновенное тестирование. А количество найденных ошибок и выплаты за их нахождение могут значительно превысить бюджет проекта.

Поэтому перед объявлением награды за поиск ошибок, необходимо всесторонне защитить свои информационные ресурсы, и тщательно проработать вопросы восстановления работоспособности. Для этого необходимо обладать командой профессионалов в области информационной безопасности, которые смогут разобрать выявленные ошибки, оценить их критичность и устранить.

И в заключении, как всегда, совет руководителю:

Награда за найденные уязвимости и ошибки — это хороший способ повысить защищенность своих приложений и данных. Однако, наиболее правильно, сначала провести защиту и тестирование веб-приложения своими силами или пригласив подрядную организацию. И только потом, после устранения всех найденных уязвимостей, давать старт программе охоты за ошибками.

Выпуск подготовил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков.

Автор:
Поделиться
Комментировать Связь с редакцией
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.

Рекомендуем

«Свободная страна» - Таиланд
История этой страны в Юго-Восточной Азии уходит вглубь веков. Она никогда не была колонизирована и сумела сохранить свою самобытность. Продолжаем наше…

Комментарии

    Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.