Очередным вендором, который объявил об открытой программе поиска уязвимостей в своих продуктах, стала компания Adobe. Но условия их программы вызывают недоумение.
Условия программы опубликованы на сайте HackerOne, где размещены аналогичные программы многих других компаний. Но, в отличие от других, Adobe ни словом не упоминает о денежном вознаграждении для тех исследователей, которые сообщат об опасных багах.
Кроме того, программа имеет ограниченную направленность. Она распространяется только на уязвимости в веб-сервисах Adobe. Вот что она покрывает.
- Межсайтовый скриптинг (CSS)
- Межсайтовая подделка запросов (CSRF) в привилегированном контексте
- Исполнение кода на стороне сервера
- Баги аутентификации или авторизации
- Уязвимости с инъекцией кода
- Обход директорий (directory traversal)
- Утечки информации (information disclosure)
- Серьёзные ошибки в конфигурации
В программу не входят уязвимости с восстановлением забытого пароля, куками, кликджекинг и прочее. К тому же, за рамками остаются Adobe Reader, Acrobat, Flash Player и другие программные продукты.
Отказ выплачивать вознаграждение со стороны Adobe выглядит странно. Эта компания традиционно лидирует по количеству новых уязвимостей, так что в её интересах было бы максимально стимулировать исследователей. Непонятно также, почему в программе не участвует десктопный софт Adobe.
С другой стороны, такую позицию можно понять: Adobe и так получает информацию об огромном количестве багов, которые еле успевает закрывать. Мол, зачем платить за сведения, которые и так поступают бесплатно?
