Выплата вознаграждений за уязвимости очень выгодна компаниям
15.07.2013
Ученые из Калифорнийского университета в Беркли провели эмпирическое исследовании эффективности программ денежных вознаграждений за баги. Как известно, подобные программы действуют в Mozilla, Google, Facebook, Microsoft и других компаниях: все они выплачивают вознаграждение хакерам, которые обнаружат опасные уязвимости в фирменных программных продуктах.
Как выяснили исследователи, подобные программы чрезвычайно эффективны.
Например, в рамках программы вознаграждений за баги в браузере Chrome за более чем три года выплачено 501 вознаграждение на сумму около $580 тыс. Статистика по браузеру Firefox: 190 вознаграждений на сумму примерно $570 тыс.
За отчетный период 27,5% всех закрытых уязвимостей в браузере Chrome (371 из 1347) стали известны именно благодаря программе вознаграждений за баги, у Firefox — 24,1% (148 из 613), что тоже неплохой показатель.
Если предположить, что выплаченные деньги компании пустили бы не на вознаграждения, а на зарплату штатным специалистам по безопасности, то за три года бюджет $570-580 тыс. примерно соответствует зарплате одного-единственного специалиста. Естественно, вряд ли даже самый гениальный хакер сумел бы обнаружить такое количество уязвимостей за три года (148 в Firefox или 371 в Chrome), тем более что большинство из них имеет статус высокой или критической опасности.
В таблице показана статистика количества багов в баг-трекере Chrome и Firefox, а также количество зарегистрированных случаев выплаты вознаграждения. При этом указана степень опасности уязвимостей: низкая, средняя, высокая, критическая или неизвестная.
Собранная база по закрытым уязвимостям и вознаграждениям выложена в открытый доступ.
