Проект с открытым исходным кодом Disclose.io поставил задачу создать некий стандарт для программ по поиску багов и уязвимостей. Одной из основных целей этого проекта является защита специалистов, которые предоставляют данные о проблемах безопасности.
Авторы инициативы считают, что в подобных программах отсутствует какая-либо последовательность, что выливается в отсутствии защиты «белых хакеров» от судебных разбирательств.
Такой подход может отбить всякое желание сообщать об обнаруженной уязвимости, считают в Disclose.io.
Также непроработанные моменты могут привести к репутационным проблемам, как это случилось, например, с производителем китайских дронов DJI в ноябре прошлого года.
Еще пример? Пожалуйста — Dropbox был вынужден пересмотреть условия раскрытия уязвимостей и свою юридическую политику после иска, который был подан против сообщившего об уязвимости исследователя.
Компании вроде HackerOne и Bugcrowd, которые управляют подобными программами для крупных предприятий, давно прикладывают усилия, чтобы как-то стандартизировать условия безопасности. Первая такая инициатива распространялась под хештегом #LegalBugBounties.
«Позволить “белым хакерам” активно искать уязвимости может стать пугающей перспективой для разработчиков программного обеспечения — это понятно. Однако в этих условиях необходимо как-то бороться с теми, кто по ту сторону кибербезопасности», — подчеркивает Кейси Эллис, основатель Bugcrowd.
«В этих условиях стандартизация — лучший способ свести на нет любые юридические и репутационные проблемы, который поможет привлечь лучших охотников за уязвимостями».