Открыть Bug Bounty - Open Bug Bounty - Wikipedia
Открыть Bug Bounty это некоммерческая платформа Bug Bounty. В ответственное раскрытие информации платформа позволяет независимым исследователям безопасности сообщать XSS и аналогичные уязвимости безопасности на любом веб-сайте, который они обнаруживают с помощью методов ненавязчивого тестирования безопасности.[1] Исследователи могут решить опубликовать подробные сведения об уязвимостях в течение 90 дней с момента отправки сообщения об уязвимостях или сообщить их только операторам веб-сайтов. Программа ожидает, что операторы затронутого веб-сайта вознаградят исследователей за их отчеты.
Программа
В отличие от коммерческих программ поощрения ошибок, Open Bug Bounty является некоммерческим проектом и не требует оплаты ни исследователями, ни операторами веб-сайтов. Любая награда является предметом соглашения между исследователями и операторами веб-сайта. Heise.de определили, что веб-сайт потенциально может стать средством шантажа операторов веб-сайтов с угрозой раскрытия уязвимостей, если вознаграждение не выплачивается, но сообщил, что Open Bug Bounty запрещает это.[2]
Open Bug Bounty был запущен энтузиастами частной безопасности в 2014 году, и по состоянию на февраль 2017 года было зарегистрировано 100 000 уязвимостей, из которых 35 000 были исправлены.[3] Он вырос из веб-сайта XSSPposed, архива межсайтовый скриптинг уязвимости.[4]
В феврале 2018 года на платформе было исправлено 100000 уязвимостей с использованием программы скоординированного раскрытия информации, основанной на рекомендациях ISO 29147. [5]
К концу 2019 года платформа сообщила о 272020 исправленных уязвимостях с использованием программы скоординированного раскрытия информации, основанной на рекомендациях ISO 29147. [6]
Рекомендации
- ^ «Open Bug Bounty: 100 000 исправленных уязвимостей и ISO 29147». Техчервь. Получено 19 февраля 2018.
- ^ "Open Bug Bounty: Sicherheitslücken gegen Prämie". Heise Security (на немецком). 12 января 2017 г.. Получено 4 января 2018.
- ^ «Open Bug Bounty - альтернативная платформа безопасности для исследователей безопасности». TechWorm. 14 февраля 2017 г.. Получено 21 декабря 2017.
- ^ «XSSPposed запускает программу Open Bug Bounty для устранения недостатков в Интернете». SC Media UK. 6 июля 2015 г.. Получено 21 декабря 2017.
- ^ «Некоммерческая организация Open Bug Bounty объявляет о 100 000 исправленных уязвимостей». SC Media. Получено 23 февраля 2018.
- ^ «Краткий обзор рекордного роста Open Bug Bounty в 2019 году». openbugbounty.org. 16 января 2020 г.. Получено 27 июля 2019.