MIT: собственные исследователи кибербезопасности приносят больше пользы, чем программы Bug Bounty
17/01/19
Организациям более выгодно напрямую нанимать исследователей в области безопасности, чем запускать программы вознаграждение за найденные уязвимости. К такому выводу пришли специалисты Массачусетского технологического института (MIT) по итогам проведенного исследования .
Исследователи изучили программу вознаграждений Facebook, а также более 60 программ, запущенных на платформе HackerOne для Twitter, Coinbase, Square и других компаний.
Как выяснилось, вопреки бытующему мнению, программы вознаграждения, в которых участвует большое количество исследователей, не приносят организациям большой пользы. Как правило, только малая часть экспертов предоставляет большое количество качественных отчетов об уязвимости. Именно к ним уходит значительная часть призового фонда.
Согласно исследованию, семь наиболее «продуктивных» участников программы Facebook зарабатывали всего $34 255 в год при обнаружении в среднем 0,87 ошибок в месяц, а в случае с программами на HackerOne лидеры зарабатывали только $16 544 при выявлении 1,17 ошибок в месяц в среднем.