Bạn có thể tưởng tượng ra mắt một nền tảng tiền thưởng lỗi toàn cầu với gần 500.000 lượt gửi và 13.000 nhà nghiên cứu mà không tiêu tốn một xu nào từ các nhà đầu tư mạo hiểm không? Nếu không, câu chuyện thành công này là dành cho bạn.
Ngành công nghiệp tiền thưởng lỗi tăng vọt một thời dường như không ở trong tình trạng tốt nhất hiện nay. Trong khi các nhà nghiên cứu bảo mật nổi tiếng đang nói về vô số rào cản ngày càng tăng mà họ gặp phải với các nền tảng tiền thưởng lỗi thương mại hàng đầu, thì các nền tảng sau đang cố gắng tự đổi mới thành “thử nghiệm thâm nhập thế hệ tiếp theo” hoặc các dịch vụ tương tự. Bạn là người đánh giá xem họ sẽ thành công như thế nào.
Các quỹ đầu tư mạo hiểm hào phóng đã đổ hàng triệu đô la vào các công ty khởi nghiệp nhanh chóng chi tiền thưởng cho lỗi không thay thế các dịch vụ Kiểm tra thâm nhập được quản lý (MPT) (như một số tuyên bố). Tuy nhiên, những công ty khởi nghiệp này đã cải thiện tích cực tỷ lệ giá/chất lượng của dịch vụ kiểm tra bút trên thị trường toàn cầu.
Trong bối cảnh không chắc chắn về tương lai của các nền tảng tiền thưởng lỗi thương mại, dự án Open Bug Bounty phi lợi nhuận đã thể hiện mức tăng trưởng và lực kéo khá ấn tượng trong báo cáo thường niên từ năm 2019:
Chỉ trong năm 2019, nền tảng tiền thưởng lỗi, phi thương mại, dựa trên ISO 29147 đã báo cáo như sau:
- 203,449 tổng số lỗ hổng bảo mật đã được báo cáo (500 lỗ hổng mỗi ngày), tăng 32% so với cùng kỳ năm ngoái
- 101,931 lỗ hổng đã được cố định bởi chủ sở hữu trang web, cho thấy một 30% tăng trưởng so với năm trước
- 5,832 các nhà nghiên cứu bảo mật mới đã tham gia cộng đồng, nâng tổng số nhà nghiên cứu và chuyên gia bảo mật lên 13,532
- 383 các chương trình tiền thưởng lỗi mới được tạo bởi chủ sở hữu trang web, hiện đang cung cấp 657 chương trình trong tổng số với hơn 1.342 các trang web để kiểm tra
Ngày nay, Open Bug Bounty đã tổ chức 680 phần thưởng tìm lỗi, cung cấp thù lao bằng tiền hoặc phi tiền tệ cho các nhà nghiên cứu bảo mật từ hơn 50 quốc gia. Các công ty toàn cầu như Telekom Austria, Acronis hoặc United Domains chạy tiền thưởng lỗi của họ tại Open Bug Bounty.
Trong số các chủ sở hữu trang web vui vẻ cảm ơn các nhà nghiên cứu vì đã phối hợp và tiết lộ có trách nhiệm thông qua nền tảng này, có thể tìm thấy Dell, IKEA, Twitter, Verizon, Philips, một số tổ chức chính phủ và tổ chức quốc tế, một số trường luật và công ty luật, thậm chí cả American Bar. Hiệp hội (ABA) – đừng nhầm lẫn với việc uống bia.
Ban đầu, Open Bug Bounty chấp nhận việc gửi XSS, CSRF, Kiểm soát truy cập không phù hợp và các vấn đề bảo mật khác trên bất kỳ trang web nào với điều kiện kiểm tra nghiêm ngặt không xâm phạm, phối hợp tiết lộ và tôn trọng quy tắc ứng xử của họ:
Vào năm 2019, tình hình đã phát triển bằng cách cho phép bất kỳ ai khởi chạy tiền thưởng tìm lỗi cho trang web của họ mà không phải trả bất kỳ khoản phí hay hoa hồng nào, tất cả 13.000 nhà nghiên cứu đều có thể truy cập được:
Open Bug Bounty sau đó đã thông báo về việc tăng cường tích hợp DevSecOps hiện có với các công cụ và công cụ mới, bổ sung cho tích hợp SDLC đã có sẵn với Jira và Splunk.
Thật thú vị, báo cáo năm 2019 cũng đề cập đến sự quan tâm ngày càng tăng từ các công ty an ninh mạng trong việc hợp tác hoặc thậm chí mua lại dự án, tuy nhiên, nó nêu rõ rằng nền tảng sẽ luôn duy trì tính mở và tính toàn vẹn của nó.
Chúng tôi đã có được một cuộc phỏng vấn độc quyền với nhóm Open Bug Bounty về tương lai của dự án:
Bạn thấy năm 2020 như thế nào đối với Open Bug Bounty?
Chúng tôi sẽ theo đuổi việc mở rộng không ngừng của mình bằng cách thêm các tính năng, tùy chọn và tích hợp mới. Chúng tôi cẩn thận lắng nghe cộng đồng của mình và cố gắng thực hiện tất cả các cải tiến có lợi cho chủ sở hữu trang web và các nhà nghiên cứu bảo mật. Sự nhanh nhẹn, đơn giản và độ tin cậy đều là những ưu tiên chính của chúng tôi khi xây dựng các tính năng mới.
Bạn có kế hoạch hợp tác với một dự án tiền thưởng lỗi thương mại hoặc một công ty an ninh mạng không?
Chúng tôi sẵn sàng đón nhận các đề xuất sẽ giúp chúng tôi cải thiện dự án, duy trì một nơi cởi mở và ấm cúng cho chủ sở hữu trang web và các nhà nghiên cứu bảo mật, được quản lý bởi sự tôn trọng và công bằng.
Bạn đang tìm kiếm nguồn tài trợ mạo hiểm hoặc quyên góp?
Chúng tôi là một nhóm nhỏ những người đam mê an ninh mạng, dành thời gian rảnh rỗi của mình cho dự án giữa cuộc sống gia đình và công việc. Hiện tại, chúng tôi cảm thấy khá thoải mái với khối lượng công việc và thậm chí còn xoay sở để làm mới thiết kế khiến nó sáng sủa và vui mắt hơn. Chúng tôi cố tình không nhận đóng góp và không hiển thị quảng cáo thương mại, vì cộng đồng của chúng tôi trước hết được thúc đẩy bởi giấc mơ bảo mật Web.
Tác động của bạn đối với ngành an ninh mạng rõ ràng như thế nào?
Các nhà nghiên cứu và chủ sở hữu trang web của chúng tôi có lẽ là những người tốt nhất để trả lời câu hỏi này. Về phía chúng tôi, chúng tôi thấy ngày càng có nhiều sinh viên an ninh mạng bắt đầu thực hành với Open Bug Bounty, các nhà phát triển phần mềm giúp đồng nghiệp của họ duy trì bảo mật tốt hơn và những thợ săn lỗi chuyên nghiệp đang tìm kiếm một giải pháp thay thế minh bạch hơn cho các nền tảng tiền thưởng lỗi thương mại. Chúng tôi hướng sự chú ý đến bảo mật ứng dụng, quảng bá dự án OWASP và cố gắng nâng cao nhận thức về bảo mật web toàn cầu giữa các chủ sở hữu trang web và nhà phát triển phần mềm.
Bạn có coi các nền tảng tiền thưởng lỗi thương mại là đối thủ cạnh tranh của mình không?
Không, chúng tôi bổ sung cho nhau bằng cách này hay cách khác. Nó giống như phần mềm mã nguồn mở và phần mềm thương mại. Triết lý của họ khá khác nhau, nhưng họ cùng tồn tại hài hòa và gia tăng giá trị cho nhau. Càng nhiều dịch vụ tồn tại trên thị trường, người tiêu dùng và các tác nhân khác sẽ càng có lợi.
Làm thế nào một người có thể liên lạc với bạn?
Có một mẫu web an toàn trên trang web của chúng tôi. Gửi cho chúng tôi chi tiết liên lạc của bạn ở đó và chúng tôi sẽ liên hệ lại với bạn.
Thay mặt The Hacker News, chúng tôi chân thành chúc nhóm Open Bug Bounty đạt được thành công xứng đáng trong những gì họ làm để cải thiện an ninh web toàn cầu.
Bước tiếp theo:
