Компания Secunia запустила еще одну
программу вознаграждения за
обнаружение уязвимостей, Secunia Vulnerability Coordination Reward Program,
которая, по ее словам, разработана, чтобы действовать независимо от отдельных
производителей программного обеспечения.
Компания заявила, что идея заключается в облегчении жизни исследователям. Это
будет происходить путем концентрации отчетов об уязвимостях в одних руках вместо
того, чтобы иметь дело с процедурами отчетности и программами вознаграждения
многочисленных производителей.
Программы производителей, по словам компании, как правило, характеризуются "бизнес-моделью,
обернутой вокруг них", и, следовательно, они могут быть избирательными в
присуждении наград за обнаруженные баги. Программа Secunia примет любую
уязвимость в имеющемся в продаже ПО.
В
блоге сотрудник Secunia Карстен Эйрам отметил, что "фан" исследования
заключается скорее в обнаружении уязвимости или создании эксплойта, в не в
"периодической экстенсивной координации и общении" с вендорами.
Он отметил, что в рамках этой программы Secunia будет "как подтверждать
обнаруженные уязвимости, так и управлять процессом координации".
Сервис, по словам компании, может также заполнить пробел для исследователей,
которые не хотят продавать свои уязвимости или не хотят ограничивать свои
исследования теми багами, которые соответствуют "требованиям существующих
программ".
Чаще вместо денег Secunia будет предлагать в качестве награды товары и два
"крупных ежегодных вознаграждения" – размещение в гостинице и вход на основные
конференции безопасности.
Критерии программы таковы: необходимо, чтобы уязвимость затрагивала
стабильный продукт, а также последнюю версию продукта; продукт должен иметь
активную сервисную поддержку поставщика; еще два обязательных фактора –
уязвимость должна быть необнародованной, и должна иметься возможность ее
репликации Secunia.