Компания «Астра» запустила программу по поиску уязвимостей в защите своей ОС. За их обнаружение «белые» хакеры получат до 250 тыс. руб. Позже компания масштабирует Bug Bounty и на другие свои продукты. Это первая в России программа по поиску уязвимости в ОС.

Bug Bounty «Астры»

В России впервые стартует программа по поиску уязвимостей в защищенности операционных систем (ОС). Bug Bounty запускает разработчик российской операционной системы Astra Linux компания «Астра». Об этом представители «Астры» рассказали CNews.

В зависимости от уровня критичности уязвимости размер выплаты может достигать 250 тыс. руб. «Критичные уязвимости будут рассматриваться в индивидуальном порядке», — отмечают в компании. По словам гендиректора компании Ильи Сивцева, «Астра» будет платить не просто за найденные ошибки, а именно за реализацию недопустимых событий.

Проверяться будет операционная система Astra Linux Special Edition. Это позволит разработчику выявить проблемы, которые могут привести к негативным последствиям в инфраструктуре заказчика ее ОС.

Bug Bounty — это программа, в ходе которой компания привлекает сторонних специалистов по безопасности для тестирования своего ПО на наличие уязвимостей с выплатой вознаграждения за их обнаружение.

Как получить вознаграждение

Оператором программы по поиску уязвимости в ОС Astra Linux станет ИБ-компания BI.ZONE. Она будет предоставлять «белым» хакерам доступ к программе, прием и обработку отчетов, а при подтверждении уязвимости проведет выплату вознаграждения.

«Астра» будет платить независимым исследователям за реализацию внутри системы недопустимых событий с авторским механизмом разграничения доступа, а также с функционирующей замкнутой программной средой. Исследователи будут искать уязвимости не в коде, а в механизмах защиты ОС.

«Астра» планирует распространить Bug Bounty и на другие подсистемы безопасности и продукты. В продуктовый портфель компании, помимо ОС, входят платформа виртуализации «Брест», корпоративная почта RuPost, решение для управления доменом ALD Pro (аналог Microsoft Active Directory, представленный в ноябре 2021 г.), инструменты резервного копирования RuBackup (компания «Рубэкап»), а также СУБД «Астра база данных тантор платформа» (разработка «Тантор лабс», контроль над которой «Астра» получила в октябре 2022 г.).

Bug Bounty от других компаний

«Астра» не первая в России ИТ-компания, которая запускает свою Bug Bounty. На платформе BI.ZONE доступны публичные программы, в том числе от VK, «Авито», Ozon, «Тинькофф», «Сбермаркета», «Сберавто» и другие.

Помимо ИТ-компаний, программу по поиску уязвимостей в феврале 2023 г. запустило Минцифры. Багхантерам за нахождение уязвимостей платили до 1 млн руб.

В октябре 2022 г. Positive Technologies рассказала, что российский бизнес готов платить багхантерам (специалистам по поиску уязвимостей; – прим. CNews) от нескольких десятков до сотен тысяч рублей, а в отдельных случаях выплаты достигают 1 млн руб. и более.

Из зарубежных компаний, например, Google выплачивает по $31,3 тыс. В Microsoft максимальное вознаграждение за обнаружение уязвимостей может достигнуть $250 тыс.

Источник: https://safe.cnews.ru/news/top/2023-08-24_razrabotchik_astra_linux_zaplatit

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *