23.09.2021

Охота на баги

Впервые, идея охоты на ошибки (баги) за вознаграждение была реализована в начале 90-х годов прошлого века. Сначала, данная программа применялась внутри зарубежных компаний, а премия выплачивалась только своим сотрудникам. С развитием сети Интернет и ростом популярности веб-приложений право на вознаграждение за поиск ошибок и уязвимостей получили и сторонние специалисты. Сегодня поговорим об условиях, которые необходимо выполнить компании до запуска программы «охота за ошибками».

Error - Фото: PagDev / unsplash - Источник

Читайте также

Оценка урона от инцидентов ИБ

О подтверждении полномочий использования электронной подписи

О новых правилах создания электронной подписи для юридических лиц

Сначала о преимуществах программы. Выплата награды позволяет привлечь к тестированию множество людей из разных стран, опыт и знания которых гарантируют проведение более глубокого анализа веб-приложений на наличие ошибок и уязвимостей. Использование данной программы дает возможность экономить деньги на проведение тестов на проникновение. Обычно, подобные предложения компании публикуют на своих веб-сайтах или специализированных площадках по охоте за ошибками. В них указываются допустимые пределы внешнего влияния на тестируемый объект, обязательно оговаривается процесс документирования найденных ошибок и, конечно, процедура выплаты вознаграждения за работу. Но есть также и целый ряд условий, которые необходимо выполнить до объявления наград.

Прежде всего, надо понимать, что с момента начала охоты на ошибки, нагрузка на инфраструктуру и веб-приложение может существенно вырасти, что в свою очередь приведет к сбоям в работе. Одно дело, когда веб-приложение аккуратно взламывается группой нанятых пентестеров и совсем другое, когда это делают десятки или сотни людей, незнакомых друг с другом. При этом нагрузка на сайт будет расти пропорционально популярности вашей компании.

Использовать программу «охоты за ошибками для веб-приложений», которые предварительно и должным образом не были защищены, бессмысленно. Процесс превратиться в обыкновенное тестирование. А количество найденных ошибок и выплаты за их нахождение могут значительно превысить бюджет проекта.

Поэтому перед объявлением награды за поиск ошибок, необходимо всесторонне защитить свои информационные ресурсы, и тщательно проработать вопросы восстановления работоспособности. Для этого необходимо обладать командой профессионалов в области информационной безопасности, которые смогут разобрать выявленные ошибки, оценить их критичность и устранить.

И в заключении, как всегда, совет руководителю:

Награда за найденные уязвимости и ошибки — это хороший способ повысить защищенность своих приложений и данных. Однако, наиболее правильно, сначала провести защиту и тестирование веб-приложения своими силами или пригласив подрядную организацию. И только потом, после устранения всех найденных уязвимостей, давать старт программе охоты за ошибками.

Выпуск подготовил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков.

Автор: Business FM Санкт-Петербург

Комментировать Связь с редакцией

Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.

Рекомендуем

Три вопроса для медицинского директора Next Generation Clinic Андрея Кирсанова

Медицинский директор Next Generation Clinic Андрей Кирсанов отвечает на три вопроса.

Три вопроса для заместителя председателя правления, руководителя розничного бизнеса ПАО «БАНК УРАЛСИБ» Станислава Тывеса

Какими темпами идёт цифровая трансформация банковского бизнеса? Как влияет на рынок программа льготной ипотеки? Какие тенденции в использовании инструментов…

«Свободная страна» - Таиланд

История этой страны в Юго-Восточной Азии уходит вглубь веков. Она никогда не была колонизирована и сумела сохранить свою самобытность. Продолжаем наше…

Комментарии

Написать комментарий