Bạn có thể tưởng tượng ra mắt một nền tảng tiền thưởng lỗi toàn cầu với gần 500.000 đệ trình và 13.000 nhà nghiên cứu mà không tiêu tốn một xu từ các nhà đầu tư mạo hiểm? Nếu không, câu chuyện thành công này là dành cho bạn.
Ngành công nghiệp tiền thưởng lỗi tăng vọt một lần dường như không ở trong tình trạng tốt nhất hiện nay. Trong khi các nhà nghiên cứu bảo mật nổi tiếng đang nói về vô số rào cản ngày càng tăng mà họ gặp phải với các nền tảng tiền thưởng lỗi thương mại hàng đầu, thì sau này họ đang cố gắng tái tạo thành "thử nghiệm thâm nhập thế hệ tiếp theo" hoặc các dịch vụ tương tự. Bạn là người đánh giá họ sẽ thành công như thế nào.
Các quỹ đầu tư mạo hiểm đã rót hàng triệu đô la vào việc nhanh chóng chi tiêu cho các công ty khởi nghiệp có lỗi mà không thay thế các dịch vụ Kiểm tra thâm nhập được quản lý (MPT) (như một số tuyên bố). Tuy nhiên, các công ty khởi nghiệp này đã cải thiện tích cực tỷ lệ giá / chất lượng của các dịch vụ thử nghiệm bút trên thị trường toàn cầu.
Trong bối cảnh không chắc chắn về tương lai của các nền tảng tiền thưởng lỗi thương mại, dự án Open Bug Bounty phi lợi nhuận đã chứng minh sự tăng trưởng và sức kéo khá ấn tượng trong báo cáo thường niên từ năm 2019:
Chỉ trong năm 2019, phi thương mại, ISO Dựa trên nền tảng, lỗi bounty đã báo cáo như sau:
- 203,449 lỗ hổng bảo mật đã được báo cáo tổng cộng (500 mỗi ngày), đó là mức tăng trưởng 32% hàng năm
- 101.931 lỗ hổng đã được sửa bởi chủ sở hữu trang web, hiển thị 30% tăng trưởng so với năm trước
- 5, 832 các nhà nghiên cứu bảo mật mới gia nhập cộng đồng, đưa tổng số nhà nghiên cứu và chuyên gia bảo mật đến 13,532
- 383 chương trình tiền thưởng lỗi mới được tạo bởi chủ sở hữu trang web, hiện đang cung cấp 657 tổng số chương trình với hơn 1, 342 trang web để kiểm tra
Hôm nay, Open Bug Bounty đã lưu trữ 680 tiền thưởng lỗi, cung cấp thù lao tiền tệ hoặc phi tiền tệ cho các nhà nghiên cứu bảo mật từ hơn 50 quốc gia. Các công ty toàn cầu như Telekom Áo, Acronis hoặc United Domains điều hành tiền thưởng lỗi của họ tại Open Bug Bounty.
Trong số các chủ sở hữu trang web hạnh phúc, những người cảm ơn các nhà nghiên cứu đã phối hợp và tiết lộ có trách nhiệm thông qua nền tảng, người ta có thể tìm thấy Dell, IKEA, Twitter, Verizon, Philips, một số tổ chức chính phủ và các tổ chức quốc tế, một số trường luật và công ty luật, và thậm chí Hiệp hội Luật sư Hoa Kỳ (ABA) – không nên nhầm lẫn với việc uống bia.
Ban đầu, Open Bug Bounty chấp nhận đệ trình XSS, CSRF, Kiểm soát truy cập không đúng cách và các vấn đề bảo mật khác trên bất kỳ điều kiện trang web nào để kiểm tra nghiêm ngặt không xâm phạm, phối hợp tiết lộ và tôn trọng quy tắc ứng xử của họ:
Năm 2019, tình hình đã phát triển bằng cách cho phép bất kỳ ai khởi chạy một phần thưởng lỗi cho trang web của mình mà không phải trả bất kỳ khoản phí hay hoa hồng nào, có thể truy cập được cho tất cả 13.000 nhà nghiên cứu:
Open Bug Bounty sau đó đã công bố việc tăng cường tích hợp DevSecOps hiện có với các công cụ và công cụ mới, bổ sung tích hợp SDLC đã có sẵn với Jira và Splunk.
Điều thú vị là báo cáo năm 2019 cũng đề cập đến sự quan tâm ngày càng tăng từ các công ty an ninh mạng trong việc hợp tác hoặc thậm chí mua lại dự án, tuy nhiên, nó nói rõ rằng nền tảng sẽ luôn duy trì tính mở và toàn vẹn.
Chúng tôi đã xoay sở để có được một cuộc phỏng vấn độc quyền với nhóm Open Bug Bounty về tương lai của dự án:
Làm thế nào để bạn thấy năm 2020 cho Open Bug Bounty?
Chúng tôi sẽ theo đuổi việc mở rộng không ngừng bằng cách thêm các tính năng, tùy chọn và tích hợp mới. Chúng tôi cẩn thận lắng nghe cộng đồng của mình và cố gắng thực hiện tất cả các cải tiến có lợi cho chủ sở hữu trang web và nhà nghiên cứu bảo mật. Nhanh nhẹn, đơn giản và đáng tin cậy là tất cả các ưu tiên chính cho chúng tôi khi xây dựng các tính năng mới.
Bạn có kế hoạch hợp tác với một dự án tiền thưởng lỗi thương mại hoặc một công ty an ninh mạng không?
Chúng tôi sẵn sàng cho các đề xuất sẽ giúp chúng tôi cải thiện dự án, duy trì một nơi cởi mở và ấm cúng cho chủ sở hữu trang web và các nhà nghiên cứu bảo mật, được điều chỉnh bởi sự tôn trọng và công bằng.
Bạn đang tìm kiếm tài trợ mạo hiểm hoặc quyên góp?
Chúng tôi là một nhóm nhỏ những người đam mê an ninh mạng, dành thời gian rảnh rỗi cho dự án giữa cuộc sống gia đình và công việc. Hiện tại, chúng tôi cảm thấy khá thoải mái với khối lượng công việc và thậm chí quản lý để làm mới thiết kế làm cho nó sáng hơn và vui vẻ. Chúng tôi cố tình không chấp nhận quyên góp và không hiển thị quảng cáo thương mại, vì cộng đồng của chúng tôi trước hết được thúc đẩy bởi một giấc mơ để bảo mật Web.
Tác động của bạn đến ngành an ninh mạng như thế nào?
Các nhà nghiên cứu và chủ sở hữu trang web của chúng tôi có lẽ là những người tốt nhất để trả lời câu hỏi này. Về phía chúng tôi, chúng tôi thấy ngày càng nhiều sinh viên an ninh mạng bắt đầu thực hành với Open Bug Bounty, các nhà phát triển phần mềm giúp các đồng nghiệp của họ duy trì bảo mật tốt hơn và các thợ săn lỗi chuyên nghiệp tìm kiếm một giải pháp thay thế minh bạch hơn cho các nền tảng tiền thưởng lỗi thương mại. Chúng tôi tập trung vào bảo mật ứng dụng, thúc đẩy dự án OWASP và cố gắng nâng cao nhận thức bảo mật web toàn cầu trong bối cảnh chủ sở hữu trang web và nhà phát triển phần mềm.
Bạn có nhận thấy các nền tảng tiền thưởng lỗi thương mại là đối thủ cạnh tranh của bạn?
Không, chúng tôi thay vì bổ sung cho nhau bằng cách này hay cách khác. Nó giống như phần mềm nguồn mở và phần mềm thương mại. Triết lý của họ khá khác nhau, nhưng họ cùng tồn tại hài hòa và gia tăng giá trị cho nhau. Càng nhiều dịch vụ tồn tại trên thị trường, người tiêu dùng và các tác nhân khác sẽ càng có lợi.
Làm thế nào một người có thể liên lạc với bạn?
Có một hình thức web an toàn trên trang web của chúng tôi. Gửi cho chúng tôi chi tiết liên lạc của bạn ở đó, và chúng tôi sẽ lấy lại cho bạn.
Thay mặt The Hacker News, chúng tôi chân thành chúc nhóm Open Bug Bounty thành công xứng đáng trong những gì họ làm để cải thiện bảo mật web toàn cầu.
Các bước tiếp theo:
