Американская компания Cloudflare, специализирующаяся на веб-инфраструктуре и безопасности сайтов, сообщила в блоге о запуске открытой программы поиска ошибок.
Отчеты об ошибках пользователи могут отправлять через профиль Cloudflare на HackerOne. Также на странице для разработчиков доступна документация по API, информация по работе с различными внутренними сервисами Cloudflare, обучающие материалы, песочница и форум.
Награды вручаются согласно рейтингу оценки уязвимостей CVSSv3, список представлен ниже:
|
Опасность |
Критическая (9.0 — 10.0) |
Высокая (7.0 — 8.9) |
Средняя (4.0 — 6.9) |
Низкая (0.1 — 3.9) |
|---|---|---|---|---|
|
Высокий приоритет |
$3000 |
$1000 |
$500 |
$250 |
|
Низкий приоритет |
$2700 |
$750 |
$350 |
$200 |
|
Другое |
$2100 |
$500 |
$200 |
$100 |
Это уже третий запуск программы bug bounty от Cloudflare. Первый пришелся на 2014 год. За время существования инициативы компания получила 1 197 отчетов, но достоверными оказались только 13% обращений от общего количества. Cloudflare не предоставляла подробности о работе своих сервисов и исследователи не могли отличить ошибку от запланированного сценария. Также по программе не выплачивались денежные средства — энтузиасты получали в подарок брендированные футболки.
К 2018 году Cloudflare создала базу знаний о своих продуктах и запустила частную программу поиска ошибок. К середине января 2022 года компания выплатила вознаграждения на сумму 211 тыс. долларов по 292 отчетам из 430.
Сейчас bug bounty открыли для всех желающих и представители Cloudflare пообещали постоянно дополнять базу знаний новой информацией.
ссылка на оригинал статьи https://habr.com/ru/articles/649277/
Добавить комментарий