«Лаборатория Касперского» объявила о запуске программы bug bounty (программа поощрения исследователей за найденные уязвимости), направленной на поиск уязвимостей в ПО, которое разрабатывает сама компания. Инициатива предусматривает привлечение сторонних исследователей и выплату им вознаграждения в случае обнаружения критических брешей. Таким образом компания намерена не только работать над устранением внутренних уязвимостей в своих решениях, но также расширять границы и форматы взаимодействия с внешними экспертами в области информационной безопасности. Партнером «Лаборатории Касперского» выступает популярная международная платформа для программ bug bounty — HackerOne.
Первый этап программы стартует 2 августа 2016 г. и продлится шесть месяцев. Это время «Лаборатория Касперского» отводит на проверку двух своих флагманских решений для домашних и корпоративных пользователей — Kaspersky Internet Security и Kaspersky Endpoint Security для бизнеса. В общей сложности компания рассчитывает выплатить исследователям, которые найдут уязвимости, 50 тыс. долл. США. По окончании первого этапа «Лаборатория Касперского» оценит результаты и решит, какие дополнительные продукты будут включены в следующую фазу программы и какие выплаты будут предусмотрены за дальнейшие исследования.
«Уязвимости неизбежны, и программы bug bounty призваны дополнить традиционные способы повышения защищенности программного обеспечения путем привлечения невероятно разнообразного по своим навыкам и опыту хакерского сообщества, — рассказывает Алекс Райс (Alex Rice), технический директор и сооснователь HackerOne. — Партнерство поможет „Лаборатории Касперского“ использовать все преимущества bug bounty, чтобы продолжать защищать пользователей на самом высоком уровне».
Призывать на помощь пользователей в обнаружении угроз, «дырок» и уязвимостей — довольно распространенная и эффективная практика среди интернет-компаний. Так, «Яндекс» выплачивает награды от 5,5 тыс. до 250 тыс. руб. за обнаружение проблем в безопасности своих сервисов и приложений с 2011 г., сообщает издание «КоммерсантЪ».
Mail.ru Group была первой российской компанией, пришедшей на площадку HackerOne. Программа поиска уязвимостей стартовала в апреле 2014 г. и, по заявлению вице-президента Mail.ru Group Анны Артамоновой для «Коммерсанта», занимает второе место среди публичных программ на HackerOne по количеству исправленных уязвимостей.
