Error - Фото: PagDev / unsplash - Источник
Сначала о преимуществах программы. Выплата награды позволяет привлечь к тестированию множество людей из разных стран, опыт и знания которых гарантируют проведение более глубокого анализа веб-приложений на наличие ошибок и уязвимостей. Использование данной программы дает возможность экономить деньги на проведение тестов на проникновение. Обычно, подобные предложения компании публикуют на своих веб-сайтах или специализированных площадках по охоте за ошибками. В них указываются допустимые пределы внешнего влияния на тестируемый объект, обязательно оговаривается процесс документирования найденных ошибок и, конечно, процедура выплаты вознаграждения за работу. Но есть также и целый ряд условий, которые необходимо выполнить до объявления наград.
Прежде всего, надо понимать, что с момента начала охоты на ошибки, нагрузка на инфраструктуру и веб-приложение может существенно вырасти, что в свою очередь приведет к сбоям в работе. Одно дело, когда веб-приложение аккуратно взламывается группой нанятых пентестеров и совсем другое, когда это делают десятки или сотни людей, незнакомых друг с другом. При этом нагрузка на сайт будет расти пропорционально популярности вашей компании.
Использовать программу «охоты за ошибками для веб-приложений», которые предварительно и должным образом не были защищены, бессмысленно. Процесс превратиться в обыкновенное тестирование. А количество найденных ошибок и выплаты за их нахождение могут значительно превысить бюджет проекта.
Поэтому перед объявлением награды за поиск ошибок, необходимо всесторонне защитить свои информационные ресурсы, и тщательно проработать вопросы восстановления работоспособности. Для этого необходимо обладать командой профессионалов в области информационной безопасности, которые смогут разобрать выявленные ошибки, оценить их критичность и устранить.
И в заключении, как всегда, совет руководителю:
Награда за найденные уязвимости и ошибки — это хороший способ повысить защищенность своих приложений и данных. Однако, наиболее правильно, сначала провести защиту и тестирование веб-приложения своими силами или пригласив подрядную организацию. И только потом, после устранения всех найденных уязвимостей, давать старт программе охоты за ошибками.
Выпуск подготовил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков.
Уполномоченный по защите прав предпринимателей в Петербурге 
Президент Ассоциации фермеров Ленобласти и Петербурга 
Председатель совета «Городского объединения домовладельцев» 
Архитектор, руководитель проекта «Центр развития комфортной городской среды»