Часто возникает вопрос, в чем смысл запуска такой программы? Зачем платить кому-то деньги, если можно нанять в QA-департамент грамотных исследователей, которые за зарплату будут ежедневно искать дыры и это никогда не станет достоянием общественности? Так-то оно так, но с финансовой точки зрения оказалось, что программы Bug Bounty имеют вполне себе измеримую пользу в денежном выражении. Например, Google и Mozilla затратили за 3 года действия своих программ около 400 тысяч долларов, что меньше, чем инвестиции в специалистов, которые за эти же три года смогли бы найти такое же количество уязвимостей.
Разумеется речь идет о достаточно высокооплачиваемых специалистам, годовой доход которых может достигать 80-100 тысяч долларов. Уже 2 штатных специалиста, занятых поиском уязвимостей, обойдутся компании-разработчику дороже, чем выплата по программе Bug Bounty. А ведь еще стоит учитывать и различные отчисления, которые могут увеличить «стоимость» специалиста в 2-3 раза по сравнению с «чистой» зарплатой.
Значит ли это, что работать исследователем в компаниях, производителях ПО, невыгодно и лучше уйти на вольные хлеба, занимаясь самостоятельными исследованиями. Увы, нет. Согласно последнему исследованию «An Empirical Study of Vulnerability Reward Programs», наиболее удачливый фрилансер смог «заработать» у Google немногим больше 105 тысяч долларов, а лидер у Mozilla — около 140 тысяч долларов в год (до вычета налогов). И это верхушка списка. На самом деле средний заработок исследователя-фрилансера гораздо ниже. Большинство внешних исследователей Mozilla получили от 3-х до 6-ти тысяч долларов, а у Google и того меньше — от 500 до 1000 долларов.
Что в итоге? Для компании-разработчика — создание Bug Bounty является выгодной затеей. За меньшие деньги она получает больший результат. А вот для внешних исследователей делать ставку только на такой способ зарабатывания денег не стоит — это скорее подработка или хобби, чем способ заработать себе на хлеб с маслом.
Для сравнения было бы интересно увидеть суммы заработка исследователей при продаже найденных уязвимостей на "черном" рынке. До вычета налогов :).
Заработки находящих уязвимости для черного рынка можно приблизительно оценить по стоимости уязвимостей
http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/
Вау-вау, палехчи командир! Баг-Баунти это развлечение не для профессионалов (с точки зрения профита). Ни одна баг-баунти не заменит internal security team. Во-первых качество работы: так называемые вайт-хаты, находят действительно что-то уникальное и сложное в единичных редких случаях. В основном они выполняют задачу "покрытие кода" по масштабному скопу на предмет простых и типовых проблем. И, наверное, сравнивать баг-баунти программы по конкретному продукту и по веб-скоупу не совсем корректно. Заведите себе хоть 10 баг-баунти программ, но качество кода вы не улучшите. "Нахождение багов" != "процесс безопасной разработки". Поэтому с финансовой точки зрения баг-баунти ничего не заменяет, а лишь дополняет. А потом, разбор сотни другой треш -отчетов о "very high critical security vulnerability CVSS 4.5 XSS" так же требует средств. Баг-баунти это для тех, кто понимает что и для чего делает, у кого есть секурити-команда и внутренние ресурсы, не ТОЛЬКО финансовые. Если человек говорит, что баг-баунти заменит внутренних спецов, то он вообще проф. непригоден и не понимает о чем говорит. А еще не плохо бы знать, что в баг-баунти развлекаются спецы, тока ради ЧСВ, а не ради денег. Масса же хантеров — скрипт-киддию. То есть те, кто ожидают гору уникальных убер-отчетов с офигенными и хитрыми векторами, то таких будет ОЧЕНЬ не много. А вот разбирать 100 дубликатов по self-xss, это вот вам. Так что выгода, лишь в покрытии кода, ПР, мы вот например не деньгами а телефонами раздаем, так что еще и реклама 8) Ну и иногда действительно находят что-то интересное. Но со всем этим должен кто-то потом работать… тут то и загвоздка, ведь баг-хантер только сказал что "у вас все плохо". А насколько плохо, в чем суть проблемы, какие риски, форензика,а как фиксить это пока девелопер увел тикет в следующий релиз, причины… действия. На кого эти вопросы вешать, если есть только девелоперы, сисадмины и менеджер проекта ну и самый крутой и находчивый убер-CISO, и ессно в IT Security каждый из них шарит весьма посредственно (в среднем, самородки и таланты исключаем, так как не системно).
Сорри за ошибки в тексте, стыдно…да… 😉
Андрей, это не черный рынок, но они сейчас в ценах сравниваются потихоньку и разница размывается, так как USA может предложить такие же цены. А вот недавно эксплойт под Аппл iOs был продан за полмиллиона долларов — http://www.klocwork.com/blog/software-security/zero-day-exploit-for-ios-sells-for-500000/ 😉 Вот там профи Exploit development'a и работают, а не на баг-баунти. Там бизнес.