HackerOne, известная платформа для поиска уязвимостей, приостановила программы по вознаграждению за ошибки, столкнувшись с серьезными проблемами в области устранения найденных багов. Теперь устранение уязвимостей становится узким местом, которое не финансируется программами вознаграждений.
Что стоит за решением HackerOne
Ранее основным затруднением для разработчиков программного обеспечения были поиск и выявление уязвимостей в коде. Однако с внедрением автоматических систем детализация и устранение ошибок стали настоящими вызовами. Существующие программы по вознаграждению позволяют выявлять проблемы, но не решают проблему их устранения.
Представители HackerOne отмечают, что с увеличением автоматизации процессов обнаружение уязвимостей стало быстрее, но для их решения требуется больше ресурсов. Это подтверждает статистика: до 70% найденных ошибок так и остаются нерешенными, что ставит под угрозу безопасность программного обеспечения.
Подходы к устранению уязвимостей
В условиях, когда HackerOne приостанавливает программы, другие компании сталкиваются с аналогичными вызовами. Например, в R&D отделениях крупных ИТ-компаний возникает необходимость выделения бюджета на устранение уязвимостей. Это значит, что затраты на обеспечения безопасности могут возрастать в разы.
Клиенты платформы, такие как корпорации и стартапы, должны учитывать рост расходов на работу с уязвимостями. К тому же, высокие затраты на устранение уязвимостей могут снизить эффективность рабочих процессов и замедлить выход новых продуктов на рынок.
Что это значит для рынка
Для разработчиков в России и СНГ решение HackerOne говорит о том, что время на устранение уязвимостей будет увеличиваться, а вознаграждения за их поиск могут свести на нет. Если ваш бизнес относятся к области IT-безопасности, важно закладывать в бюджет дополнительные ресурсы на устранение обнаруживаемых рисков.
Следующий шаг HackerOne в этой ситуации пока неясен, но аналитики ожидают, что компания найдет способы адаптировать свои программы, чтобы лучше справляться с актуальными вызовами в области безопасности.
