Kan du tänka dig att starta en global plattform för buggods med nästan 500 000 inlagor och 13 000 forskare utan att konsumera ett cent från riskkapitalister? Om inte är denna framgångshistoria åt dig.
Buggeindustrin som brukade skyrocket verkar inte vara i bästa skick just nu. Medan ledande säkerhetsforskare pratar om de många hinder som de upplever med den ledande kommersiella buggountplattformen, försöker de senare transformera sig själva som “nästa generations penetrationstest” eller liknande tjänster. Du blir en domare av hur framgångsrika de kommer att bli.
Generösa riskkapitalfonder har kanaliserat miljontals dollar till nystartade företag med snabba bugga presenter som inte har ersatt tjänsten Managed Penetration Testing (MPT) (som vissa har sagt). Denna uppstart ökar dock positivt pris / kvalitetsförhållandet för penntesttjänster på den globala marknaden.
Mitt i osäkerhet om framtiden för den kommersiella bugplattformen har det ideella Open Bug Bounty-projektet visat en imponerande tillväxt och tilltalande i sina årsrapporter från och med 2019:
Först under 2019 rapporteras den icke-kommersiella bounty bug-plattformen, baserad på ISO 29147:
- 203.449 Säkerhetssårbarheter rapporteras totalt (500 per dag), vilket är en tillväxt på 32% från år till år
- 101.931 Sårbarheten fixas av webbplatsägaren, vilket indikerar a 30% tillväxt jämfört med föregående år
- 5832 Nya säkerhetsforskare går med i samhället, vilket ger det totala antalet forskare och säkerhetsexperter till 13532
- 383 Nytt buggeprogram skapat av webbplatsägare, erbjuder nu 657 program totalt med mer än 1342 webbplats för att testa
Idag har Open Bug Bounty varit värd för 680 bounties som erbjuder monetära eller icke-monetära ersättningar till säkerhetsforskare från mer än 50 länder. Globala företag som Telekom Österrike, Acronis eller United Domains kör sina bounty bug i Open Bug Bounty.
Bland glada webbplatsägare, som tackar forskare för samordnad och ansvarsfull avslöjande via plattformen, kan människor hitta Dell, IKEA, Twitter, Verizon, Philips, flera statliga myndigheter och internationella organisationer, flera advokatskolor och advokatbyråer, och till och med American Bar Association (ABA) – dock inte förväxla med att dricka öl.
Inledningsvis accepterar Open Bug Bounty inlämningar av XSS, CSRF, Felaktig åtkomstkontroll och andra säkerhetsfrågor under alla webbplatsvillkor för mycket icke-påträngande tester, samordnad avslöjande och respekt för deras uppförandekod:
År 2019 utvecklas situationen genom att låta vem som helst lansera felpriser för sina webbplatser utan avgifter eller provisioner, tillgängliga för alla 13 000 forskare:
Open Bug Bounty meddelade sedan en ökning av integrationen av befintliga DevSecOps med nya verktyg och instrument, vilket kompletterar SDLC-integrationen som redan var tillgänglig med Jira och Splunk.
Intressant nog nämnde rapporten från 2019 också det ökade intresset för cybersäkerhetsföretag att samarbeta med eller till och med anskaffa projekt, men det stod tydligt att plattformen alltid skulle bibehålla sin öppenhet och integritet.
Vi lyckades få en exklusiv intervju med Open Bug Bounty-teamet om projektets framtid:
Hur ser du 2020 för Open Bug Bounty?
Vi kommer att fortsätta att expandera genom att lägga till nya funktioner, alternativ och integration. Vi lyssnar noga till vårt samhälle och försöker implementera alla förbättringar som gynnar webbplatsägare och säkerhetsforskare. Smidighet, enkelhet och tillförlitlighet är våra främsta prioriteringar när vi bygger nya funktioner.
Planerar du att samarbeta med ett kommersiellt bountyprojekt eller ett cybersäkerhetsföretag?
Vi är öppna för förslag som hjälper oss att förbättra projektet, behålla en plats som är öppen och bekväm för webbplatsägare och säkerhetsforskare, som styrs av respekt och rättvisa.
Letar du efter riskkapital eller donationer?
Vi är en liten grupp cybersäkerhetsentusiaster som tillbringar vår fritid på projekt mellan familjeliv och arbete. För närvarande känner vi oss ganska bekväma med arbetsbelastningen och lyckades till och med uppdatera designen så att den blir ljusare och mer glad. Vi accepterar medvetet inte donationer och visar inte kommersiella annonser, med tanke på att vårt samhälle främst drivs av drömmen om att säkra nätet.
Hur synlig är din påverkan på cybersäkerhetsbranschen?
Våra forskare och webbplatsägare är förmodligen de bästa människorna att svara på denna fråga. Från vår sida ser vi ett växande antal cybersecurity-studenter börja sin övning med Open Bug Bounty, mjukvaruutvecklare som hjälper sina kollegor att upprätthålla bättre säkerhet och professionella bugjägare som letar efter mer transparenta alternativ till kommersiella bounty-plattformar. Vi riktar uppmärksamheten mot applikationssäkerhet, marknadsför OWASP-projektet och försöker öka den globala webbsäkerhetsmedvetenheten bland webbplatsägare och mjukvaruutvecklare.
Anser du den kommersiella buggprisplattformen som din konkurrent?
Nej, vi föredrar att komplettera varandra på ett eller annat sätt. Detta är som öppen källkodsprogramvara och kommersiell programvara. Deras filosofi är helt annorlunda, men de lever sida vid sida i harmoni och ger mervärde till varandra. Ju fler erbjudanden det finns på marknaden, desto bättre är konsumenterna och andra aktörer.
Hur kan någon kontakta dig?
Det finns ett säkert webbformulär på vår webbplats. Skicka oss dina kontaktuppgifter där, så kommer vi att kontakta dig.
På uppdrag av The Hacker News hoppas vi uppriktigt att Open Bug Bounty-teamet kommer att få anständiga framgångar vad de gör för att förbättra den globala webbsäkerheten.
Nästa steg:
