Наука и технологии

Сайт дня: Bugcrowd - стандарт здравого смысла для пентестеров

Сегодня сайтом дня объявляется корпоративный сайт компании Bugcrowd. Эта компания - посредник между независимыми исследователями защиты программ и сервисов от взлома (пентестерами) и их потенциальными заказчиками - разработчиками сервисов и ПО.

Главная страница сайта Bugcrowd

Я взялся написать про Bugcrowd потому, что эта компания предложила неожиданно простое и эффективное решение главной (как мне кажется) проблемы компьютерной безопасности - нежелания крутых IT-спецов работать на честных разработчиков, а не на злоумышленников. Проще говоря, речь идёт о нежелании хакеров оставаться пентестерами.

Дело в том, что и хакеры и пентестеры в основное "рабочее" время делают одно и тоже - ищут бреши в системе безопасности программ и сервисов. Разница в том, что они делают потом - когда найдут. Хакеру легко, он пойдёт к знакомому злоумышленнику, продаст ему очередную наработку, получит деньги, с достоинством выслушает похвалы и пойдёт ломать что-нибудь ещё для постоянного клиента. Пентестеру труднее, если на него не подадут в суд за сам факт тестирования - это уже хорошо. Найденную уязвимость могут с благодарностью исправить, а могут и проигнорировать, а с пентестера взять обязательство о неразглашении. За помощь в устранении багов пентестеру могут заплатить, а могут и кинуть. Я уверен, что каждый пентестер хотя бы раз в жизни задумывался о том, чтобы податься в хакеры.

Специалисты из Bugcrowd подошли к этому вопросу предельно профессионально - они разработали стандарт. Именно так в мире IT и решаются проблемы. В Bugcrowd сформулировали стандартные и честные правила по работе с пентестерами, которые разработчики софта могут включать в договоры и лицензии. Тогда пентестеры будут знать, что с этими разработчиками можно сотрудничать, а на остальных не стоит тратить время. Дело в том, что правила от Bugcrowd необременительны для компаний, но учитывают все ключевые интересы пентестеров. Заготовку стандарта Bugcrowd пока выложили на GitHub:

Стандарт условий для работы с пентестерами по версии Bugcrowd

Не для всех очевидно, насколько это событие важное, но на самом деле принятие стандартов - это самая значительная разновидность событий во всей IT-индустрии. Достаточно вспомнить, сколько изменений породило принятие в качестве стандарта лицензии GPL или спецификации HTML5. Если правила от Bugcrowd будут приняты значительным количеством разработчиков - это изменит уровень компьютерной безопасности в мировом масштабе. Многие из тех людей, которые сейчас ломают программы, предпочтут тестировать их в интересах разработчиков. Мы станем реже писать о взломах и чаще - о хороших, надёжных программных продуктах.

Остаётся лишь пожелать Bugcrowd удачи во внедрении своего стандарта.

Знаете ещё хорошие сайты? Пишите на sitesoftheday@ferra.ru.