Open Bug Bounty - это некоммерческая платформа Bug Bounty. Платформа ответственного раскрытия информации позволяет независимым исследователям безопасности сообщать о XSS и аналогичных уязвимостях безопасности на любом веб-сайте, который они обнаруживают, с использованием методов ненавязчивого тестирования безопасности. [1] Исследователи могут решить опубликовать подробности уязвимостей в течение 90 дней с момента их отправки или сообщить их только операторам веб-сайта. Программа ожидает, что операторы затронутого веб-сайта вознаградят исследователей за их отчеты.
Программа
В отличие от коммерческих программ поощрения ошибок, Open Bug Bounty является некоммерческим проектом и не требует оплаты ни исследователями, ни операторами веб-сайтов. Любая награда является предметом соглашения между исследователями и операторами веб-сайта. Heise.de определил, что веб-сайт потенциально может стать средством шантажа операторов веб-сайтов с угрозой раскрытия уязвимостей, если вознаграждение не выплачивается, но сообщил, что Open Bug Bounty запрещает это. [2]
Open Bug Bounty был запущен энтузиастами частной безопасности в 2014 году, и по состоянию на февраль 2017 года было зарегистрировано 100 000 уязвимостей, из которых 35 000 были исправлены. [3] Он вырос из веб-сайта XSSPposed, архива уязвимостей межсайтового скриптинга . [4]
В феврале 2018 года на платформе было исправлено 100000 уязвимостей с использованием программы скоординированного раскрытия информации, основанной на рекомендациях ISO 29147. [5]
К концу 2019 года платформа сообщила о 272020 исправленных уязвимостях с помощью программы скоординированного раскрытия информации, основанной на рекомендациях ISO 29147. [6]
Рекомендации
- ^ «Open Bug Bounty: 100 000 исправленных уязвимостей и ISO 29147» . Техчервь . Проверено 19 февраля 2018 .
- ^ "Open Bug Bounty: Sicherheitslücken gegen Prämie" . Heise Security (на немецком языке). 12 января 2017 . Проверено 4 января 2018 года .
- ^ «Open Bug Bounty - альтернативная платформа безопасности для исследователей безопасности» . TechWorm . 14 февраля 2017 . Проверено 21 декабря 2017 года .
- ^ «XSSPposed запускает программу Open Bug Bounty для устранения недостатков в сети» . SC Media UK . 6 июля 2015 . Проверено 21 декабря 2017 года .
- ^ «Некоммерческая организация Open Bug Bounty объявляет о 100 000 исправленных уязвимостей» . СК Медиа . Проверено 23 февраля 2018 .
- ^ «Краткий обзор рекордного роста Open Bug Bounty в 2019 году» . openbugbounty.org . 16 января 2020 . Проверено 27 июля 2019 .