ИБ. Экономика и лучшие практики раскрытия уязвимостей
А помните в прошлом году один человек нашел баг в ГИС Минобра, выкачала базу дипломов, не смог связаться с администратором и опубликовал статью с примерами эксплуатации на Хабр? Под новый год ENISA (регулятор по ИБ евросоюза) опубликовал интересный документ по анализу и экономике процессов раскрытия уязвимостей - Economicsof Vulnerability Disclosure . В своем исследовании они опирались также на другой свежий документ - Software Vulnerability Disclosure in Europe от CEPS . В документе ENISA подробно рассматриваются возможные участники процессов поиска уязвимостей и раскрытия информации о ней. Их мотивация, проблемы с которыми они сталкиваются и опасения. Рассматриваются текущие практики раскрытия и нераскрытия уязвимостей: В документе отмечается что развитие платформ bug bounty положительно повлияло на развитие процессов сообщения об уязвимостях, на привлечение внимания к теме уязвимостей. Средние стоимости вознаграждений. Но bug bounty пла...