Несмотря на всевозможные программы тестирования, массовое внедрение SDL и процесса DevSecOps в разработке, во всем без исключения ПО обнаруживаются критические уязвимости, приводящие к инцидентам, убыткам и репутационным потерям. Публичные программы Bug Bounty уменьшают эту вероятность. Они предусматривают денежные вознаграждения или другие бенефиты за нахождение багов и уязвимостей в софте и разработку эксплойтов под них.

В прямом эфире мы обсудим, для чего стоит прибегать к программе Bug Bounty, как правильно организовать и провести такую программу. Какой бюджет для этого понадобится. Расскажем о лучших практиках Bug Bounty в России. Какие специализированные платформы для этого существуют и в чем состоит их польза.

Регистрация по ссылке: https://live.anti-malware.ru/bug-bounty



1. Программы Bug Bounty в России

• Что такое программа Bug Bounty и зачем она нужна?
• Для каких компаний и проектов подходит Bug Bounty?
• Каким должен быть масштаб использования ПО, чтобы Bug Bounty был эффективен?
• В чем разница между Bug Bounty и Red Teaming?
• Если мы заплатим компании пентестеров, то это заменит Bug Bounty?
• Сколько стоит провести Bug Bounty в России?
• Примеры успешных Bug Bounty в России?

2. Как привлечь белых хакеров в свою программу Bug Bounty

• «Охотники за уязвимостями»или исследователи – кто они?
• Как привлекать «охотников за уязвимостями» в свою программу?
• Сколько платят за обнаружение ошибок или уязвимостей?
• Нужно ли ориентироваться на расценки в даркнете?
• Что может привлечь исследователей помимо денег?
• Возможно ли проводить Bug Bounty в масштабах одной страны?
• Нужна ли какая-то фильтрация участников?

3. Особенности проведения Bug Bounty

• Проводить Bug Bounty самому или с помощью специализированной платформы?
• HackerOne перестал работать с российскими компаниями. Насколько это критично?
• Какие есть российские альтернативы HackerOne?
• Какие возможности предоставляют заказчикам российские платформы Bug Bounty?
• Что нужно для старта программы Bug Bounty?
• Как правильно сформулировать правила для программы Bug Bounty?
• Кто будет оценивать найденные ошибки или уязвимости?
• Были случаи, когда найденные уязвимости не были оценены должным образом. Как избежать негативных последствий?
• Как рассчитать и обосновать бюджет на Bug Bounty?
• Как оценивать эффективность проведенной программы Bug Bounty?

4. Прогнозы развития программ Bug Bounty в России

• Будут ли программы Bug Bounty набирать популярность в России?
• Не приведет ли «выключение» России из международного ИБ-сообщества к деградации эффективности этого метода?
• Как будут развиваться российские аналоги HackerOne?
• Нужна ли нам национальная российская платформа Bug Bounty?

Зарегистрироваться