Онлайн-конференция "Программы по поиску ошибок и уязвимостей в ПО (Bug Bounty)" состоится 12 мая 2022 года в 11:00 (мск). Организатор - Anti-Malware.
Несмотря на всевозможные программы тестирования, массовое внедрение SDL и процесса DevSecOps в разработке, во всем без исключения ПО обнаруживаются критические уязвимости, приводящие к инцидентам, убыткам и репутационным потерям. Публичные программы Bug Bounty уменьшают эту вероятность. Они предусматривают денежные вознаграждения или другие бенефиты за нахождение багов и уязвимостей в софте и разработку эксплойтов под них.
В прямом эфире мы обсудим, для чего стоит прибегать к программе Bug Bounty, как правильно организовать и провести такую программу. Какой бюджет для этого понадобится. Расскажем о лучших практиках Bug Bounty в России. Какие специализированные платформы для этого существуют и в чем состоит их польза.
КЛЮЧЕВЫЕ ВОПРОСЫ
Программы Bug Bounty в России
- Что такое программа Bug Bounty и зачем она нужна?
- Для каких компаний и проектов подходит Bug Bounty?
- Каким должен быть масштаб использования ПО, чтобы Bug Bounty был эффективен?
- В чем разница между Bug Bounty и Red Teaming?
- Если мы заплатим компании пентестеров, то это заменит Bug Bounty?
- Сколько стоит провести Bug Bounty в России?
- Примеры успешных Bug Bounty в России?
Как привлечь белых хакеров в свою программу Bug Bounty
- "Охотники за уязвимостями"или исследователи – кто они?
- Как привлекать "охотников за уязвимостями" в свою программу?
- Сколько платят за обнаружение ошибок или уязвимостей?
- Нужно ли ориентироваться на расценки в даркнете?
- Что может привлечь исследователей помимо денег?
- Возможно ли проводить Bug Bounty в масштабах одной страны?
- Нужна ли какая-то фильтрация участников?
Особенности проведения Bug Bounty
- Проводить Bug Bounty самому или с помощью специализированной платформы?
- HackerOne перестал работать с российскими компаниями. Насколько это критично?
- Какие есть российские альтернативы HackerOne?
- Какие возможности предоставляют заказчикам российские платформы Bug Bounty?
- Что нужно для старта программы Bug Bounty?
- Как правильно сформулировать правила для программы Bug Bounty?
- Кто будет оценивать найденные ошибки или уязвимости?
- Были случаи, когда найденные уязвимости не были оценены должным образом. Как
- избежать негативных последствий?
- Как рассчитать и обосновать бюджет на Bug Bounty?
- Как оценивать эффективность проведенной программы Bug Bounty?
Прогнозы развития программ Bug Bounty в России
- Будут ли программы Bug Bounty набирать популярность в России?
- Не приведет ли "выключение" России из международного ИБ-сообщества к деградации эффективности этого метода?
- Как будут развиваться российские аналоги HackerOne?
- Нужна ли нам национальная российская платформа Bug Bounty?
Программы по поиску ошибок и уязвимостей в ПО (Bug Bounty)
Дата проведения: 12.05.2022. Начало в 11:00
Место проведения: Онлайн
- Анонс
- Программа
- Участники
- Спикеры
Онлайн-конференция "Программы по поиску ошибок и уязвимостей в ПО (Bug Bounty)" состоится 12 мая 2022 года в 11:00 (мск). Организатор - Anti-Malware.
Несмотря на всевозможные программы тестирования, массовое внедрение SDL и процесса DevSecOps в разработке, во всем без исключения ПО обнаруживаются критические уязвимости, приводящие к инцидентам, убыткам и репутационным потерям. Публичные программы Bug Bounty уменьшают эту вероятность. Они предусматривают денежные вознаграждения или другие бенефиты за нахождение багов и уязвимостей в софте и разработку эксплойтов под них.
В прямом эфире мы обсудим, для чего стоит прибегать к программе Bug Bounty, как правильно организовать и провести такую программу. Какой бюджет для этого понадобится. Расскажем о лучших практиках Bug Bounty в России. Какие специализированные платформы для этого существуют и в чем состоит их польза.
КЛЮЧЕВЫЕ ВОПРОСЫ
Программы Bug Bounty в России
- Что такое программа Bug Bounty и зачем она нужна?
- Для каких компаний и проектов подходит Bug Bounty?
- Каким должен быть масштаб использования ПО, чтобы Bug Bounty был эффективен?
- В чем разница между Bug Bounty и Red Teaming?
- Если мы заплатим компании пентестеров, то это заменит Bug Bounty?
- Сколько стоит провести Bug Bounty в России?
- Примеры успешных Bug Bounty в России?
Как привлечь белых хакеров в свою программу Bug Bounty
- "Охотники за уязвимостями"или исследователи – кто они?
- Как привлекать "охотников за уязвимостями" в свою программу?
- Сколько платят за обнаружение ошибок или уязвимостей?
- Нужно ли ориентироваться на расценки в даркнете?
- Что может привлечь исследователей помимо денег?
- Возможно ли проводить Bug Bounty в масштабах одной страны?
- Нужна ли какая-то фильтрация участников?
Особенности проведения Bug Bounty
- Проводить Bug Bounty самому или с помощью специализированной платформы?
- HackerOne перестал работать с российскими компаниями. Насколько это критично?
- Какие есть российские альтернативы HackerOne?
- Какие возможности предоставляют заказчикам российские платформы Bug Bounty?
- Что нужно для старта программы Bug Bounty?
- Как правильно сформулировать правила для программы Bug Bounty?
- Кто будет оценивать найденные ошибки или уязвимости?
- Были случаи, когда найденные уязвимости не были оценены должным образом. Как
- избежать негативных последствий?
- Как рассчитать и обосновать бюджет на Bug Bounty?
- Как оценивать эффективность проведенной программы Bug Bounty?
Прогнозы развития программ Bug Bounty в России
- Будут ли программы Bug Bounty набирать популярность в России?
- Не приведет ли "выключение" России из международного ИБ-сообщества к деградации эффективности этого метода?
- Как будут развиваться российские аналоги HackerOne?
- Нужна ли нам национальная российская платформа Bug Bounty?
Генеральный директор Anti-Malware.ru
Руководитель продукта The Standoff, Positive Technologies
