- 9,513
- 18
- 8 Ноя 2022
Компания поделилась итоги работы платформы по поиску уязвимостей Standoff 365 Bug.
Positive Technologies Для просмотра ссылки Войдиили Зарегистрируйся работы своей платформы Standoff 365 Bug Bounty, которая была запущена в мае 2022 года. Платформа позволяет организациям размещать свои программы по поиску уязвимостей в своих продуктах и сервисах, а также награждать исследователей, которые находят и сообщают о них.
За полтора года работы платформы количество программ выросло с 2 до 53, а размер вознаграждения варьируется от 9 тысяч до 3 миллионов рублей в зависимости от критичности уязвимости. Среди Для просмотра ссылки Войдиили Зарегистрируйся есть организации из разных сфер деятельности, такие как IT, торговля, финансы, госсектор. Самые активные участники — IT-компании (38%), государственные учреждения (17%) и образовательные платформы (11%). Среди них — известные бренды, такие как Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф».
Платформа привлекла внимание 7537 исследователей, которые отправили 1479 отчетов о найденных уязвимостях. Из них 10% (152) были с критическим уровнем опасности, а 19% (287) — с высоким. Большинство уязвимостей (22%) относились к типу CWE-79, который связан с некорректной обработкой входных данных при генерировании веб-страниц и может привести к межсайтовому выполнению сценариев. Positive Technologies сравнила данные по уязвимостям, найденным на своей платформе, с данными, которые публикует одна из ведущих мировых платформ багбаунти HackerOne. HackerOne также ведет Для просмотра ссылки Войдиили Зарегистрируйся по типам уязвимостей по классификации CWE (Common Weakness Enumeration) и ранжирует их по количеству отчетов с ними. Оказалось, что данные с двух платформ схожи, что свидетельствует о том, что Standoff 365 Bug Bounty поддерживает мировые тренды даже в статистике об уязвимостях инфраструктур организаций.
«Одним из наиболее значимых показателей результативности платформы является количество полученных валидных отчетов о найденных уязвимостях, — говорит менеджер по продукту Standoff 365 Анатолий Иванов. — Таковыми, как правило, считаются отчеты исследователей, которые прошли верификацию со стороны платформы и представителя программы».
Размеры вознаграждений на платформе Standoff 365 Bug Bounty зависят от компании-участника и ее бизнес-параметров, таких как доходы, масштаб, тип информации. По данным Positive Technologies, IT-компании и финансовые организации выплатили 81% всех вознаграждений, хотя их программы составляли только 44% от общего числа. Уровень выплат на зарубежных платформах сопоставим с аналогичными программами на Standoff 365 Bug Bounty. Например, на платформе HackerOne вознаграждения по ним могут составлять до 20 тыс. долл. в зависимости от компании — участника программы.
В 2023 году платформа также провела два закрытых мероприятия Standoff Hacks, на которых исследователи могли принять участие в специальных программах по поиску уязвимостей. По итогам последнего мероприятия общая сумма выплат составила 11 470 740 рублей.
Positive Technologies Для просмотра ссылки Войди
За полтора года работы платформы количество программ выросло с 2 до 53, а размер вознаграждения варьируется от 9 тысяч до 3 миллионов рублей в зависимости от критичности уязвимости. Среди Для просмотра ссылки Войди
Платформа привлекла внимание 7537 исследователей, которые отправили 1479 отчетов о найденных уязвимостях. Из них 10% (152) были с критическим уровнем опасности, а 19% (287) — с высоким. Большинство уязвимостей (22%) относились к типу CWE-79, который связан с некорректной обработкой входных данных при генерировании веб-страниц и может привести к межсайтовому выполнению сценариев. Positive Technologies сравнила данные по уязвимостям, найденным на своей платформе, с данными, которые публикует одна из ведущих мировых платформ багбаунти HackerOne. HackerOne также ведет Для просмотра ссылки Войди
«Одним из наиболее значимых показателей результативности платформы является количество полученных валидных отчетов о найденных уязвимостях, — говорит менеджер по продукту Standoff 365 Анатолий Иванов. — Таковыми, как правило, считаются отчеты исследователей, которые прошли верификацию со стороны платформы и представителя программы».
Размеры вознаграждений на платформе Standoff 365 Bug Bounty зависят от компании-участника и ее бизнес-параметров, таких как доходы, масштаб, тип информации. По данным Positive Technologies, IT-компании и финансовые организации выплатили 81% всех вознаграждений, хотя их программы составляли только 44% от общего числа. Уровень выплат на зарубежных платформах сопоставим с аналогичными программами на Standoff 365 Bug Bounty. Например, на платформе HackerOne вознаграждения по ним могут составлять до 20 тыс. долл. в зависимости от компании — участника программы.
В 2023 году платформа также провела два закрытых мероприятия Standoff Hacks, на которых исследователи могли принять участие в специальных программах по поиску уязвимостей. По итогам последнего мероприятия общая сумма выплат составила 11 470 740 рублей.
- Источник новости
- www.securitylab.ru
