Разработчики GitLab отчитались об эффективности своей программы bug bounty, запущенной на HackerOne  еще в 2014 году.

Напомню, что сначала программа была закрытой для широкой публики и работала только по приглашениям. Более того, ранее никаких денежных вознаграждений за обнаруженные баги не выплачивали. Оплачиваемая bug bounty программа появилась лишь в конце 2017 года, но была доступна только для небольшого количества избранных партнеров.

Лишь в конце 2018 года компания разрешила искать уязвимости в своих продуктах и сервисах всем желающим, подчеркнув, что не будет предпринимать юридических мер против специалистов, которые могут случайно выйти за рамки во время изысканий.

Теперь сообщается, что открытая программа поиска уязвимостей зарекомендовала себя очень хорошо: за прошедший год от 513 исследователей со всего мира поступило 1378 сообщений. Из них 171 исследователь сообщил об уязвимостях, подпадающих под критерии bug bounty программы, и это суммарно принесло специалистам 565 650 долларов вознаграждений.

«Программа держала наших инженеров в тонусе, бросила им вызов, удивила нашу команду безопасности, а также помогла сделать GitLab более защищенным»,— резюмируют разработчики.

Оставить мнение