Сайт дня: Bugcrowd - стандарт здравого смысла для пентестеров
Сегодня сайтом дня объявляется корпоративный сайт компании Bugcrowd. Эта компания — посредник между независимыми исследователями защиты программ и сервисов от взлома (пентестерами) и их потенциальными заказчиками — разработчиками сервисов и ПО.
Главная страница сайта Bugcrowd
Я взялся написать про Bugcrowd потому, что эта компания предложила неожиданно простое и эффективное решение главной (как мне кажется) проблемы компьютерной безопасности — нежелания крутых IT-спецов работать на честных разработчиков, а не на злоумышленников. Проще говоря, речь идёт о нежелании хакеров оставаться пентестерами.
Дело в том, что и хакеры и пентестеры в основное «рабочее» время делают одно и тоже — ищут бреши в системе безопасности программи сервисов. Разница в том, что они делают потом — когда найдут. Хакеру легко, он пойдёт к знакомому злоумышленнику, продаст ему очередную наработку, получит деньги, с достоинством выслушает похвалы и пойдёт ломать что-нибудь ещё для постоянного клиента. Пентестеру труднее, Если на него не подадут в суд за сам факт тестирования — это уже хорошо. Найденную уязвимость могут с благодарностью исправить, а могут и проигнорировать, а с пентестера взять обязательство о неразглашении. За помощь в устранении багов пентестеру могут заплатить, а могут и кинуть. Я уверен, что каждый пентестер хотя бы раз в жизни задумывался о том, чтобы податься в хакеры.
Специалисты из Bugcrowd подошли к этому вопросу предельно профессионально — они разработали стандарт. Именно так в мире IT и решаются проблемы. В Bugcrowd сформулировали стандартные и честные правила по работе с пентестерами, которые разработчики софта могут включать в договоры и лицензии. Тогда пентестеры будут знать, что с этими разработчиками можно сотрудничать, а на остальных не стоит тратить время. Дело в том, что правила от Bugcrowd необременительны для компаний, но учитывают все ключевые интересы пентестеров. Заготовку стандарта Bugcrowd пока выложили на GitHub:
Стандарт условий для работы с пентестерами по версии Bugcrowd
Не для всех очевидно, насколько это событие важное, но на самом деле принятие стандартов — это самая значительная разновидность событий во всей IT-индустрии. Достаточно вспомнить, сколько изменений породило принятие в качестве стандарта лицензии GPL или спецификации HTML5. Если правила от Bugcrowd будут приняты значительным количеством разработчиков — это изменит уровень компьютерной безопасности в мировом масштабе. Многие из тех людей, которые сейчас ломают программы, предпочтут тестировать их в интересах разработчиков. Мы станем реже писать о взломах и чаще — о хороших, надёжных программных продуктах.
Остаётся лишь пожелать Bugcrowd удачи во внедрении своего стандарта.
Знаете ещё хорошие сайты? Пишите на sitesoftheday@ferra.ru.
© Ferra.ru
