«Группа Астра» разместила на платформе BI.ZONE Bug Bounty пять программ для поиска уязвимостей в своих продуктах. Размер выплат зависит от критичности найденной проблемы. В большинстве программ максимальное вознаграждение составляет 100 тыс. рублей.
Самая крупная выплата предусмотрена за уязвимости в Astra Linux — до 250 тыс. рублей.
Исследователи могут проверять следующие продукты:
- DCImanager — платформа для управления физической мультивендорной ИТ-инфраструктурой;
- ALD Pro — служба каталога корпоративного класса, импортонезависимый аналог Active Directory;
- Clouden — решение для централизованного управления гибридной и мультиоблачной инфраструктурой;
- VMmanager — платформа для создания отказоустойчивой среды виртуализации;
- Astra Linux — сертифицированная операционная система со встроенными средствами защиты информации.
По данным компании, за время работы с баг-хантерами «Группа Астра» получила более 120 отчётов и выплатила исследователям свыше 3 млн рублей.
В BI.ZONE отмечают, что баг-баунти постепенно становится привычным инструментом для ИТ-компаний. По словам руководителя продукта BI.ZONE Bug Bounty Андрея Лёвкина, «Группа Астра» запускала программы поэтапно и расширяла область тестирования постепенно.
В «Группе Астра» также говорят, что к моменту выхода на Bug Bounty процесс работы с уязвимостями уже был выстроен внутри компании. Однако внешние исследователи помогли обнаружить дополнительные важные проблемы. Директор научно-технического центра информационной безопасности «Группы Астра» Ольга Рябикина назвала Bug Bounty одним из наиболее эффективных способов привлечения сторонней ИБ-экспертизы.
