Проект Open Bug Bounty отказался от Full Disclosure

С начала запуска проекта в 2014 исследователи обнаружили более 140 тыс. уязвимостей на web-сайтах.

Некоммерческий проект Open Bug Bounty по раскрытию уязвимостей web-сайтов представил итоги своей работы и внес некоторые изменения в процедуру раскрытия уязвимостей.

С начала запуска проекта в 2014 году его участниками стали 3 424 исследователя безопасности. С их помощью были раскрыты 140 380 уязвимостей на 141 828 сайтах (в том числе 15 043 VIP-ресурсах), из которых была исправлена 72 271 проблема, что составляетнемногобольше половины от всех обнаруженных уязвимостей.

Как сообщается на сайте проекта, ради сохранения целостности сообщества и ценностей Open Bug Bounty в процедуру раскрытия уязвимостей были внесены некоторые изменения. Во-первых, процесс раскрытия больше не предполагает обязательного Full Disclosure. «Full Disclosure весьма непопулярно среди нашего сообщества (менее 1% заявок), поэтому мы думаем, что оно больше не является обязательным», – говорится на сайте.

Во-вторых, отныне окно для раскрытия подробностей об уязвимости составляет 90 дней. В случае исправления уязвимости промежуток времени между ее обнаружением и раскрытием сокращается до 30 дней.

Вознаграждение теперь будет выдаваться за координированное раскрытие уязвимостей и различные технические достижения, например, за интересные техники обхода межсетевых экранов прикладного уровня (WAF).

Open Bug Bounty – некоммерческий проект, призванный объединить исследователей безопасности и владельцев web-сайтов с целью сделать интернет безопаснее без существенных или необоснованных затрат со стороны владельцев интернет-ресурсов. Координированная программа раскрытия уязвимостей позволяет любому исследователю сообщать об уязвимостях на любом сайте при условии, если проблемы были обнаружены без использования инвазивных методов и раскрыты в соответствии с требованиями ответственного раскрытия уязвимостей.