Содержание статьи

Программы Bug Bounty позволяют хакеру легально заработать, а владельцам сервисов — своевременно получить информацию о найденных уязвимостях. Но если опытный специалист не готов работать на условиях Bug Bounty, то владелец программы может предложить ему взаимовыгодный договор. О юридических нюансах такого метода сотрудничества мы и поговорим в этой статье.

Программа Bug Bounty — это свод правил, который определяет, в каких пределах может вести свою деятельность багхантер, в течение какого времени, какой инструментарий использовать и уязвимости какого рода будут приняты в качестве положительного результата. Также определяется порядок выплат и другие детали.

В большинстве случаев такой свод правил открыт, он обнародован для ознакомления и доступен всем желающим (или достаточно широкому кругу лиц). Когда же владелец программного продукта хочет привлечь к тестированию ограниченный круг специалистов, конкретного человека или компанию, то, как правило, заключается договор или соглашение, где прописываются все его основные условия. Его содержание не обнародуется.

 

Какой именно договор заключается для поиска багов?

По сути, багхантер, выявляя уязвимости, оказывает владельцу исследуемого программного продукта услуги. Поэтому верным решением видится оформление договора на оказание услуг. Не следует путать такой договор с договором на выполнение работ (договором подряда).

 

Между кем заключается договор?

Как правило, договор на подобные действия заключается между двумя сторонами, одна из которых — правообладатель тестируемого продукта (заказчик), а другая — тот, кто будет выполнять тестирование (исполнитель). Исполнителем может быть как физическое лицо (если привлекается конкретный специалист), так и компания, если заказчик привлекает организацию.

 

Может ли багхантер вносить правки в договор заказчика?

В целом да, но это зависит от договоренностей между сторонами договора и их позициями по договору. Если багхантеру невыгоден договор в редакции заказчика и при этом он готов пойти на риск отказа другой стороны, то он может попробовать выдвинуть свои условия и пересмотреть условия заказчика. В конце концов, у нас существует принцип свободы воли договора, по которому стороны вправе согласовывать условия.

 

Гражданский кодекс РФ, статья 421. Свобода договора

  1. Граждане и юридические лица свободны в заключении договора.
  2. 
<...>
  3. 
<...>
  4. Условия договора определяются по усмотрению сторон, кроме случаев, когда содержание соответствующего условия предписано законом или иными правовыми актами (статья 422).

Поэтому, если заказчик пришлет проект договора в нередактируемом виде и скажет, что никакие правки вносить нельзя, такая позиция не должна вводить в заблуждение. Как видишь, законом предусмотрено, что условия должны быть согласованы с обеих сторон. Поэтому, если некоторые правки для тебя критичны, не стесняйся отстаивать свою позицию. Если возникнут споры, они будут разрешаться компетентным арбитром с учетом содержания договора, поэтому важно, что именно в нем написано.

 

Может ли багхантер предоставить заказчику свой договор?

Да, вполне. Если ты уже опытный спец и у тебя налажено взаимодействие с разными производителями софта, то неплохо иметь свой шаблон договора. Но будь готов к тому, что такой договор будет отклонен (и настоятельно предложен встречный вариант договора заказчика) или серьезно отредактирован.

Если в качестве исполнителя выступает компания, то, конечно, ей лучше иметь свой шаблон договора, с которым будет удобно работать. В противном случае придется разбираться с версией договора каждого заказчика. Различия в них увеличат время, которое требуется на согласование.

 

Стоит ли начинать работать до согласования договора?

Это зависит от степени доверия между заказчиком и багхантером. Когда вы работаете не в первый раз и знаете друг друга, можно начинать работу и согласовывать договор параллельно. Если же для сторон это первое взаимодействие, то лучше, конечно, приступать к поиску уязвимостей только после заключения договора.

Вдруг стороны так и не придут к согласию — тогда для заказчика остается риск, что багхантер завладеет конфиденциальной информацией о продукте и сможет использовать ее во вред, а исследователь рискует получить обвинение в неправомерном использовании программных продуктов, то есть объектов тестирования.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии