22.07.2013

Финансовая эффективность программ Bug Bounty для разработчиков

О программах Bug Bounty слышали многие. Это программа финансового вознаграждения, получаемого независимыми исследователями, находящими уязвимости в программном обеспечении того или иного производителя. Такие программы есть у многих компаний - Facebook, Microsoft, Google, Avast, PayPal, Mozilla, Qiwi, Yandex. И это только верхушка айсберга - наиболее полный список приведен на сайте Bugcrowd.

Часто возникает вопрос, в чем смысл запуска такой программы? Зачем платить кому-то деньги, если можно нанять в QA-департамент грамотных исследователей, которые за зарплату будут ежедневно искать дыры и это никогда не станет достоянием общественности? Так-то оно так, но с финансовой точки зрения оказалось, что программы Bug Bounty имеют вполне себе измеримую пользу в денежном выражении. Например, Google и Mozilla затратили за 3 года действия своих программ около 400 тысяч долларов, что меньше, чем инвестиции в специалистов, которые за эти же три года смогли бы найти такое же количество уязвимостей.

Разумеется речь идет о достаточно высокооплачиваемых специалистам, годовой доход которых может достигать 80-100 тысяч долларов. Уже 2 штатных специалиста, занятых поиском уязвимостей, обойдутся компании-разработчику дороже, чем выплата по программе Bug Bounty. А ведь еще стоит учитывать и различные отчисления, которые могут увеличить "стоимость" специалиста в 2-3 раза по сравнению с "чистой" зарплатой.

Значит ли это, что работать исследователем в компаниях, производителях ПО, невыгодно и лучше уйти на вольные хлеба, занимаясь самостоятельными исследованиями. Увы, нет. Согласно последнему исследованию "An Empirical Study of Vulnerability Reward Programs", наиболее удачливый фрилансер смог "заработать" у Google немногим больше 105 тысяч долларов, а лидер у Mozilla - около 140 тысяч долларов в год (до вычета налогов). И это верхушка списка. На самом деле средний заработок исследователя-фрилансера гораздо ниже. Большинство внешних исследователей Mozilla получили от 3-х до 6-ти тысяч долларов, а у Google и того меньше - от 500 до 1000 долларов.

Что в итоге? Для компании-разработчика - создание Bug Bounty является выгодной затеей. За меньшие деньги она получает больший результат. А вот для внешних исследователей делать ставку только на такой способ зарабатывания денег не стоит - это скорее подработка или хобби, чем способ заработать себе на хлеб с маслом.

5 коммент.:

Евгений комментирует...

Для сравнения было бы интересно увидеть суммы заработка исследователей при продаже найденных уязвимостей на "черном" рынке. До вычета налогов :).

Andrey Beshkov комментирует...

Заработки находящих уязвимости для черного рынка можно приблизительно оценить по стоимости уязвимостей

http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/

Alexey Sintsov комментирует...

Вау-вау, палехчи командир! Баг-Баунти это развлечение не для профессионалов (с точки зрения профита). Ни одна баг-баунти не заменит internal security team. Во-первых качество работы: так называемые вайт-хаты, находят действительно что-то уникальное и сложное в единичных редких случаях. В основном они выполняют задачу "покрытие кода" по масштабному скопу на предмет простых и типовых проблем. И, наверное, сравнивать баг-баунти программы по конкретному продукту и по веб-скоупу не совсем корректно. Заведите себе хоть 10 баг-баунти программ, но качество кода вы не улучшите. "Нахождение багов" != "процесс безопасной разработки". Поэтому с финансовой точки зрения баг-баунти ничего не заменяет, а лишь дополняет. А потом, разбор сотни другой треш -отчетов о "very high critical security vulnerability CVSS 4.5 XSS" так же требует средств. Баг-баунти это для тех, кто понимает что и для чего делает, у кого есть секурити-команда и внутренние ресурсы, не ТОЛЬКО финансовые. Если человек говорит, что баг-баунти заменит внутренних спецов, то он вообще проф. непригоден и не понимает о чем говорит. А еще не плохо бы знать, что в баг-баунти развлекаются спецы, тока ради ЧСВ, а не ради денег. Масса же хантеров - скрипт-киддию. То есть те, кто ожидают гору уникальных убер-отчетов с офигенными и хитрыми векторами, то таких будет ОЧЕНЬ не много. А вот разбирать 100 дубликатов по self-xss, это вот вам. Так что выгода, лишь в покрытии кода, ПР, мы вот например не деньгами а телефонами раздаем, так что еще и реклама 8) Ну и иногда действительно находят что-то интересное. Но со всем этим должен кто-то потом работать... тут то и загвоздка, ведь баг-хантер только сказал что "у вас все плохо". А насколько плохо, в чем суть проблемы, какие риски, форензика,а как фиксить это пока девелопер увел тикет в следующий релиз, причины... действия. На кого эти вопросы вешать, если есть только девелоперы, сисадмины и менеджер проекта ну и самый крутой и находчивый убер-CISO, и ессно в IT Security каждый из них шарит весьма посредственно (в среднем, самородки и таланты исключаем, так как не системно).

Alexey Sintsov комментирует...

Сорри за ошибки в тексте, стыдно...да... ;)

Alexey Sintsov комментирует...

Андрей, это не черный рынок, но они сейчас в ценах сравниваются потихоньку и разница размывается, так как USA может предложить такие же цены. А вот недавно эксплойт под Аппл iOs был продан за полмиллиона долларов - http://www.klocwork.com/blog/software-security/zero-day-exploit-for-ios-sells-for-500000/ ;) Вот там профи Exploit development'a и работают, а не на баг-баунти. Там бизнес.