Выплата вознаграждений за уязвимости выгодна компаниям

Выплата вознаграждений за уязвимости выгодна компаниям

Ученые из Калифорнийского университета в Беркли провели эмпирическое исследовании эффективности программ денежных вознаграждений за баги.

Как известно, подобные программы действуют в Mozilla, Google, Facebook, Microsoft и других компаниях: все они выплачивают вознаграждение хакерам, которые обнаружат опасные уязвимости в фирменных программных продуктах.

Как выяснили исследователи, подобные программы чрезвычайно эффективны.

Например, в рамках программы вознаграждений за баги в браузере Chrome за более чем три года выплачено 501 вознаграждение на сумму около 580 тыс. долларов. Статистика по браузеру Firefox: 190 вознаграждений на сумму примерно 570 тыс. долларов.

За отчетный период 27,5% всех закрытых уязвимостей в браузере Chrome (371 из 1347) стали известны именно благодаря программе вознаграждений за баги, у Firefox — 24,1% (148 из 613), что тоже неплохой показатель.

Если предположить, что выплаченные деньги компании пустили бы не на вознаграждения, а на зарплату штатным специалистам по безопасности, то за три года бюджет 570-580 тыс. долл. примерно соответствует зарплате одного-единственного специалиста. Естественно, вряд ли даже самый гениальный хакер сумел бы обнаружить такое количество уязвимостей за три года (148 в Firefox или 371 в Chrome), тем более что большинство из них имеет статус высокой или критической опасности.

В таблице показана статистика количества багов в баг-трекере Chrome и Firefox, а также количество зарегистрированных случаев выплаты вознаграждения. При этом указана степень опасности уязвимостей: низкая, средняя, высокая, критическая или неизвестная.

Собранная база по закрытым уязвимостям и вознаграждениям выложена в открытый доступ.

2013-07-16
http://www.comss.info/page.php?al=Vyplata_voznagrazhdenij_za_ujazvimosti_ochen_vygodna_kompanijam​

 

Если наши современные айтишники настолько жадны, то хотя бы деньги может быть их простимулируют хоть что то полезное сделать. А хороший человек поможет с уязвимостями и так.