Отчет о Bugcrowd, который исследует 30 месяцев представлений субсидии ошибки через 166 программ, находит, что crowdsourced открытие ошибки получает принятие через отрасль.Кейси Эллис запустила Bugcrowd в 2012 с идеи, что crowdsourced открытие ошибки является лучшим способом улучшить безопасность.
Это – идея, которая работает, согласно вступительному состоянию Багкроуда Отчета о Субсидии Ошибки, выпущенного 30 июля, который смотрит на субсидии ошибки с января 2013 до июня 2015.Эллис и удивлен и рад тому, как модель Bugcrowd для краудсорсинговой отчетности ошибки удается и получает принятие через отрасль.
Bugcrowd выполняет программы субсидии ошибки от имени поставщиков, обеспечивая зрелую внутреннюю инфраструктуру и сообщество исследователей, чтобы помочь улучшить безопасность.«Когда я сначала запустил компанию, я провел большую часть своего времени, объясняя людям, о чем субсидия ошибки была всем», сказал Эллис eWEEK. «Теперь я делаю это намного меньше».Крупные технологические поставщики понимают потребность в субсидиях ошибки, но проблема остается для тех за пределами крупных поставщиков, которые волнуются по поводу привлекательных хакеров найти ошибки, по словам Эллиса.
За 30-месячный период, покрытый состоянием Отчета о Субсидии Ошибки, Bugcrowd получил 37 227 представлений от исследователей в области безопасности через 166 программ субсидии ошибки, которыми это управляет. Из тех только 7 958 представлений фактически включали допустимые уязвимости.
Развертку уровня глубже, допустимых представлений, 729 считали высоким приоритетом, и 175 были идентифицированы специалистами по безопасности, как являющимися критическими дефектами.Эллис выполняет Bugcrowd как бизнес и не благотворительность или, альтруистическим исследователям усилия платят за их допустимые отчеты об ошибках.
В течение 30-месячного периода, что покрытый отчет, клиенты Багкроуда выплатил в общей сложности 724 014,02$ 566 различным исследователям.У исследователей, которые участвуют в программе Багкроуда, было среднее число 1 279,18$, оплаченных им ежегодно. Однако в данных существуют некоторые выбросы, поскольку главная единственная награда, данная Bugcrowd за прошлые 30 месяцев, была субсидией в размере 10 000$, оплаченной исследователю для дефекта подделки запроса перекрестного сайта (CSRF), найденного в платформе электронной коммерции.
Bugcrowd выполняет многократные типы программ, включая общедоступные субсидии ошибки, где любой может представить отчеты и программы только для приглашения. Джонатан Крэн, вице-президент операций в Bugcrowd, сказал, что то, что удивило его, было успехом программ субсидии только для приглашения. Был более высокий процент допустимых представлений на субсидиях только для приглашения по сравнению с государственными программами, сказал он.«Это выдерживает рассуждать, так как существуют высококвалифицированные исследователи в программе только приглашения», сказал Крэн eWEEK. «В общедоступных программах субсидии 18 процентов представлений были допустимы, в то время как 36 процентов представлений были допустимы в программах субсидии только для приглашения».
Смотря и через общедоступные и через программы субсидии только для приглашения, наиболее распространенная уязвимость, найденная за 30-месячный период отчета, была перекрестным сайтом, пишущим сценарий (XSS) дефекты, которые представляли 17,8 процентов представлений. Дефекты CSRF прибыли во вторые, представляющие 8,6 процентов представлений.При продвижении и Эллис и Крэн ожидают, что еще больше ошибок и вознаграждений будут выплачены сообществу Багкроуда исследователей.«Мы были действительно хороши в этой точке, чтобы удостовериться, что исследователям платят за вещи, которые ценны и что наши клиенты не платят за вещи, за которые они не должны платить», сказал Эллис. «В течение долгого времени общее согласие и понимание того, что уязвимость стоит, будут расти».
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.