Open Bug Bounty - Википедия - Open Bug Bounty

Открыть Bug Bounty это некоммерческая платформа Bug Bounty. В ответственное раскрытие информации платформа позволяет независимым исследователям безопасности сообщать XSS и аналогичные уязвимости безопасности на любом веб-сайте, который они обнаруживают с помощью методов ненавязчивого тестирования безопасности.^[1] Исследователи могут решить опубликовать подробные сведения об уязвимостях в течение 90 дней с момента отправки сообщения об уязвимостях или сообщить их только операторам веб-сайтов. Программа ожидает, что операторы затронутого веб-сайта вознаградят исследователей за их отчеты.

Программа

В отличие от коммерческих программ поощрения ошибок, Open Bug Bounty является некоммерческим проектом и не требует оплаты ни исследователями, ни операторами веб-сайтов. Любая награда является предметом соглашения между исследователями и операторами веб-сайта. Heise.de определили, что веб-сайт потенциально может стать средством шантажа операторов веб-сайтов с угрозой раскрытия уязвимостей, если вознаграждение не выплачивается, но сообщил, что Open Bug Bounty запрещает это.^[2]

Open Bug Bounty был запущен энтузиастами частной безопасности в 2014 году, и по состоянию на февраль 2017 года было зарегистрировано 100 000 уязвимостей, из которых 35 000 были исправлены.^[3] Он вырос из веб-сайта XSSPposed, архива межсайтовый скриптинг уязвимости.^[4]

В феврале 2018 года на платформе было исправлено 100000 уязвимостей с использованием программы скоординированного раскрытия информации, основанной на рекомендациях ISO 29147. ^[5]

К концу 2019 года платформа сообщила о 272020 исправленных уязвимостях с использованием программы скоординированного раскрытия информации, основанной на рекомендациях ISO 29147. ^[6]

Рекомендации

внешняя ссылка

• Официальный веб-сайт