«Лаборатория Касперского» объявляет о начале работы программы bug bounty — поиска уязвимостей в собственном программном обеспечении. Исследователи, нашедшие ошибки в антивирусных продуктах компании, получат в сумме $50 тыс.
Фото: Олег Харсеев, Коммерсантъ
«Лаборатория Касперского» запустила так называемую программу bug bounty, направленную на поиск уязвимостей в собственном софте, сообщили “Ъ” в компании. Она предусматривает привлечение сторонних исследователей и выплату им вознаграждения в случае обнаружения критических брешей. Партнером «Лаборатории Касперского» выступает популярная международная платформа для bug bounty программ — HackerOne.
Первый этап программы стартует во вторник и продлится шесть месяцев. Это время «Лаборатория Касперского» отводит на проверку двух своих флагманских решений для домашних и корпоративных пользователей — Kaspersky Internet Security и Kaspersky Endpoint Security. В общей сложности компания рассчитывает выплатить исследователям, которые найдут уязвимости, $50 тыс. По окончании первого этапа «Лаборатория Касперского» оценит результаты и решит, какие дополнительные продукты будут включены в следующую фазу программы и какие выплаты будут предусмотрены за дальнейшие исследования.
Призывать на помощь пользователей в обнаружении угроз, «дырок» и уязвимостей — довольно распространенная и эффективная практика среди интернет-компаний. Так, «Яндекс» выплачивает награды от 5,5 тыс. до 250 тыс. руб. за обнаружение проблем в безопасности своих сервисов и приложений с 2011 года. За это время было прислано более 1 тыс. сообщений, исправлено более сотни серьезных уязвимостей, подсчитала представитель компании Карина Шабанова. «Иногда мы объявляем специальный дополнительный конкурс, как, например, это было в 2015 году, когда в “Яндекс.Браузере” появилась технология активной защиты Protect»,— говорит она. «Размер награды зависит от сервиса, на котором была обнаружена уязвимость. Сервисы делятся на две группы — критичные (“Паспорт”, “Почта”, “Диск”, “Карты”, “Календарь”, главная страница “Яндекса, страница результатов поиска, “Директ”, “Маркет”) и все остальные»,— говорится на странице программы bug bounty «Охота за ошибками» на сайте «Яндекса».
По словам вице-президента Mail.ru Group и руководителя бизнес-подразделения «Почта и портал» Анны Артамоновой, Mail.ru Group была первой российской компанией, пришедшей на площадку HackerOne. «Наша программа поиска уязвимостей стартовала в апреле 2014 года и занимает второе место среди публичных программ на HackerOne по количеству исправленных уязвимостей,— говорит госпожа Артамонова.— Приоритетные проекты для поиска багов — веб-сервисы и мобильные приложения “Почта”, “Облако”, “Календарь”, “Mail.Ru для Бизнеса” и “Авторизационный центр”». За прошедшие два года в программу прислали около 3,9 тыс. сообщений, около 1,4 тыс. из них признаны действительными, вознаграждение получили 278 исследователей, перечисляет она, «всего за это время в рамках программы было выплачено почти 10 млн руб., средняя стоимость одной уязвимости — около 22 тыс. руб., а максимальное вознаграждение составило $5 тыс.».