Скоро мы отметим 2-летний юбилей нашего участия в Bug Bounty программе.
В прошлой статье мы рассказали, как всё начиналось: как запустить Bug Bounty программу, если нет опыта, на что стоит обратить внимание, как корректно сформировать скоуп и оценить критичность найденных багов в интересах компании.
Тогда, год назад, мы работали в рамках приватной Bug Bounty программы с проверенной платформой. За год нашего сотрудничества мы получили 76 репортов. Средний размер вознаграждения составлял примерно 423$.
Это хороший результат, которым мы очень довольны. Но, наверное, как вы догадались, что-то пошло не так…
Наверное, начать нужно с того, почему же 2 года назад мы все-таки остановили выбор на данной платформе. Конечно, свою роль сыграл тот факт, что тогда у нас не было опыта, мы имели лишь небольшое представление, как лучше выстроить процессы. Поэтому в приоритете стояли привлекательные финансовые условия, которые наша прошлая платформа и предлагала, а также подкупила русскоязычная команда платформы. Значит, общаться будет легко!
После года сотрудничества мы обратили внимание, что активность багхантеров заметно снизилась. Нас, конечно, это не устраивало. Мы стали получать меньше репортов, и сотрудничество перестало быть для нас полезным. Так что ключевым фактором смены площадки можно признать отсутствие активности хантеров по нашим сервисам.
Причин, почему же так случилось, может быть несколько.
Во-первых, важно учитывать, что число багхантеров ограничено. На нашей прошлой платформе их было всего несколько сотен, это немного. Вероятно, просто их экспертиза исчерпала себя. Сообщество сделало и попробовало всё, что могло.
Во-вторых, все наши сервисы, заявленные в программе, русскоязычные, а большая часть аудитории платформы — англоговорящие багхантеры. Скорее всего, им просто было сложно ориентироваться в наших сервисах и не так интересно.
Также стоит обратить внимание и на сезонность активности. Многие багхантеры — студенты и даже школьники, из-за экзаменов и учебы их активность периодически может снижаться.
Мы решили посмотреть другие площадки, попробовать оценить рынок еще раз, но уже с опытом и пониманием кухни. К тому же мы заметили, что другие платформы предлагают больше услуг и сервисов.
На самом деле, в этой ситуации мы видели 3 возможных решения:
Вариант 1: приостановить Bug Bounty программу
Совсем завершать программу мы не хотели, так как были довольны результатами работы. Мы постоянно запускаем новые сервисы, поэтому помощь багхантеров необходима. К тому же, программа позволяет нам лучше понимать пользователей и совершенствовать свои продукты.
Вариант 2: организовать собственную Bug Bounty платформу
Что касается этого варианта — это очень сложно и требует больших сил. Необходимо создать локальную платформу, сформировать подробную и объективную программу поощрений, самостоятельно привлечь хакеров и, конечно, контролировать работу всей платформы. Звучит очень круто, но мы не были уверены, что готовы на это.
Вариант 3: сменить платформу (спойлер — наш выбор)
Итак, остается последнее — еще раз проверить, что есть на рынке платформ и выбрать подходящий вариант.
Теперь давайте по порядку…
Мы провели новый анализ и случайно наткнулись на Zerocopter. Вы слышали про этих ребят? Если честно, нам они не встречались до этого момента. Если бы нам кто-то рассказал про этих ребят раньше, мы были бы очень благодарны этому человеку, сэкономили бы деньги и время.
Zerocopter — это голландская компания, персонал и большинство багхантеров говорят на английском. На их сайте можно использовать только латиницу: программы, репорты, профили, описания и комментарии доступны только на английском. Но в команде есть русскоязычные сотрудники, так что проблем с решением вопросов не будет.
При выборе новой платформы для нас было важно получить максимум функционала за те же деньги. К слову, на сайте Zerocopter просто разобраться в тарифных планах: на сайте сразу указана стоимость. Так бывает не всегда.
Цена ежемесячной подписки дешевле, а функционала даже больше.
Помимо классических программ, у нас есть возможность использовать автосканер уязвимостей. Еще одна полезная услуга — политика Responsible Disclosure.
Если наш клиент обнаружил уязвимость, он может просто заполнить форму на Zerocopter (ссылка на форму, опубликована на нашем сайте). Получается, что любой желающий может составить свой репорт, а не только зарегистрированный на платформе багхантер. На нашей прошлой платформе такой возможности не было. Это удобно: мы оцениваем репорт и ведем взаимодействие уже через Zerocopter.
Все финансовые операции мы можем также проводить через Bug Bounty платформу. Это большое преимущество для нашей бухгалтерии, упрощает отчетность.
Хантеров на нашей новой платформе больше, и главное — они другие! А значит, новый опыт, новые инструменты, знания и новые уязвимости!
Прошло уже полгода, как мы работаем с Zerocopter. Возможно, итоги пока подводить рано. Но удалось решить нашу задачу: активность багхантеров возросла, общее количество репортов и количество валидных репортов увеличилось. Конечно, это позитивное изменение для нас. Благодаря новому сообществу мы получили 100+ репортов.
Понятно, что очень сложно оценить результат и эффективность платформы только по цифрам. Важны валидность репортов и уровень критичности. Однако мы понимаем, что количество существующих уязвимостей должно уменьшиться, все-таки мы уже 2 года в Bug Bounty программе.
Если вы запускаете Bug Bounty программу, попробуйте сформулировать, что для вас важно при выборе платформы.
Обратите внимание на следующие критерии:
Ну и если активность багхантеров снизилась, возможно, виновата сезонность, а может быть просто стоит сменить платформу. Если регулярно анализировать рынок Bug Bounty платформ, можно быть в курсе новых функций и появившихся платформ. Уверены, вы найдете подходящий для вас вариант.
В прошлой статье мы рассказали, как всё начиналось: как запустить Bug Bounty программу, если нет опыта, на что стоит обратить внимание, как корректно сформировать скоуп и оценить критичность найденных багов в интересах компании.
Тогда, год назад, мы работали в рамках приватной Bug Bounty программы с проверенной платформой. За год нашего сотрудничества мы получили 76 репортов. Средний размер вознаграждения составлял примерно 423$.
Это хороший результат, которым мы очень довольны. Но, наверное, как вы догадались, что-то пошло не так…
Bug Bounty («вознаграждение за ошибку») — это программа, которая предусматривает денежное вознаграждение или другие бенефиты за нахождение багов, эксплойтов и уязвимостей в работе ПО.
Компания может запустить подобную программу самостоятельно, своими силами организовав все процессы и взаимодействия. Второй вариант — обратиться к специальным Bug Bounty платформам: заключаем соглашение, и армия багхантеров приступает к работе.
Почему мы решили сменить Bug Bounty платформу?
Наверное, начать нужно с того, почему же 2 года назад мы все-таки остановили выбор на данной платформе. Конечно, свою роль сыграл тот факт, что тогда у нас не было опыта, мы имели лишь небольшое представление, как лучше выстроить процессы. Поэтому в приоритете стояли привлекательные финансовые условия, которые наша прошлая платформа и предлагала, а также подкупила русскоязычная команда платформы. Значит, общаться будет легко!
После года сотрудничества мы обратили внимание, что активность багхантеров заметно снизилась. Нас, конечно, это не устраивало. Мы стали получать меньше репортов, и сотрудничество перестало быть для нас полезным. Так что ключевым фактором смены площадки можно признать отсутствие активности хантеров по нашим сервисам.
Причин, почему же так случилось, может быть несколько.
Во-первых, важно учитывать, что число багхантеров ограничено. На нашей прошлой платформе их было всего несколько сотен, это немного. Вероятно, просто их экспертиза исчерпала себя. Сообщество сделало и попробовало всё, что могло.
Во-вторых, все наши сервисы, заявленные в программе, русскоязычные, а большая часть аудитории платформы — англоговорящие багхантеры. Скорее всего, им просто было сложно ориентироваться в наших сервисах и не так интересно.
Также стоит обратить внимание и на сезонность активности. Многие багхантеры — студенты и даже школьники, из-за экзаменов и учебы их активность периодически может снижаться.
Мы решили посмотреть другие площадки, попробовать оценить рынок еще раз, но уже с опытом и пониманием кухни. К тому же мы заметили, что другие платформы предлагают больше услуг и сервисов.
Альтернативные варианты развития событий
На самом деле, в этой ситуации мы видели 3 возможных решения:
- приостановить Bug Bounty программу,
- организовать собственную Bug Bounty платформу для наших сервисов своими силами,
- сменить платформу.
Вариант 1: приостановить Bug Bounty программу
Совсем завершать программу мы не хотели, так как были довольны результатами работы. Мы постоянно запускаем новые сервисы, поэтому помощь багхантеров необходима. К тому же, программа позволяет нам лучше понимать пользователей и совершенствовать свои продукты.
Вариант 2: организовать собственную Bug Bounty платформу
Что касается этого варианта — это очень сложно и требует больших сил. Необходимо создать локальную платформу, сформировать подробную и объективную программу поощрений, самостоятельно привлечь хакеров и, конечно, контролировать работу всей платформы. Звучит очень круто, но мы не были уверены, что готовы на это.
Вариант 3: сменить платформу (спойлер — наш выбор)
Итак, остается последнее — еще раз проверить, что есть на рынке платформ и выбрать подходящий вариант.
Теперь давайте по порядку…
Мы провели новый анализ и случайно наткнулись на Zerocopter. Вы слышали про этих ребят? Если честно, нам они не встречались до этого момента. Если бы нам кто-то рассказал про этих ребят раньше, мы были бы очень благодарны этому человеку, сэкономили бы деньги и время.
Zerocopter — это голландская компания, персонал и большинство багхантеров говорят на английском. На их сайте можно использовать только латиницу: программы, репорты, профили, описания и комментарии доступны только на английском. Но в команде есть русскоязычные сотрудники, так что проблем с решением вопросов не будет.
Цена или функционал? Все вместе!
При выборе новой платформы для нас было важно получить максимум функционала за те же деньги. К слову, на сайте Zerocopter просто разобраться в тарифных планах: на сайте сразу указана стоимость. Так бывает не всегда.
Цена ежемесячной подписки дешевле, а функционала даже больше.
Помимо классических программ, у нас есть возможность использовать автосканер уязвимостей. Еще одна полезная услуга — политика Responsible Disclosure.
Если наш клиент обнаружил уязвимость, он может просто заполнить форму на Zerocopter (ссылка на форму, опубликована на нашем сайте). Получается, что любой желающий может составить свой репорт, а не только зарегистрированный на платформе багхантер. На нашей прошлой платформе такой возможности не было. Это удобно: мы оцениваем репорт и ведем взаимодействие уже через Zerocopter.
Все финансовые операции мы можем также проводить через Bug Bounty платформу. Это большое преимущество для нашей бухгалтерии, упрощает отчетность.
Хантеров на нашей новой платформе больше, и главное — они другие! А значит, новый опыт, новые инструменты, знания и новые уязвимости!
Спустя полгода…
Прошло уже полгода, как мы работаем с Zerocopter. Возможно, итоги пока подводить рано. Но удалось решить нашу задачу: активность багхантеров возросла, общее количество репортов и количество валидных репортов увеличилось. Конечно, это позитивное изменение для нас. Благодаря новому сообществу мы получили 100+ репортов.
Понятно, что очень сложно оценить результат и эффективность платформы только по цифрам. Важны валидность репортов и уровень критичности. Однако мы понимаем, что количество существующих уязвимостей должно уменьшиться, все-таки мы уже 2 года в Bug Bounty программе.
Какие выводы мы для себя сделали?
Если вы запускаете Bug Bounty программу, попробуйте сформулировать, что для вас важно при выборе платформы.
Обратите внимание на следующие критерии:
- русскоязычный менеджер и команда поддержки,
- ценовая политика,
- количество багхантеров,
- активность багхантеров,
- русская команда багхантеров (для работы с русскоязычными сервисами),
- возможность самостоятельно установить размер наград (в зависимости от уровня критичности),
- дополнительные полезные опции.
Ну и если активность багхантеров снизилась, возможно, виновата сезонность, а может быть просто стоит сменить платформу. Если регулярно анализировать рынок Bug Bounty платформ, можно быть в курсе новых функций и появившихся платформ. Уверены, вы найдете подходящий для вас вариант.
Комментарии (2)
artebel
05.11.2021 00:09Было бы супер классно, если бы в описании вашей политики раскрытия уязвимостей указали, что вы не платите награду за подтвержденные уязвимости. А если вдруг платите, то хотелось бы увидеть таблицу с расценками для Low-Critical
lukasafonov
На какой платформе если не секрет? Для многих хантеров "старая" (а год это старая) программа = все вычистили до нас, а учитывая
это нецелесообразная трата времени и сил. Да и просто могло быть неинтересно.
Хостинг-платформа - довольно специфичный сервис, с регистрацией, верификацией данных и оплатой. Предоставляли ли вы исследователям полноценные аккаунты для тестирования?
Я вам открою страшную тайну - скилловых хантеров ограниченное количество, как и методов и инструментария. Если они особо не ищут хантеров, а судя по регистрации это так, то за ними или стоит коммюнити или здесь что-то не так.
Из вашей предыдущей статьи
к сожалению такой подход не работает.
Выводы в конце статьи в целом верные, надеюсь в будущем сможете рассмотреть и российскую платформу - bugbounty.ru.