А я даже расскажу, почему так. Вот пойдёшь и устроишь

багбаунти, заплатишь денег, что-то найдут. И что с этим делать? купленные библиотеки самим перепиливать? Код RTOS править самим? Ну даже, допустим, получилось, а дальше - какой выхлоп? Все только пальцем будут показывать на тебя как сам себе проблем нашёл.. А при формировании решения архитекторы будут проверять БДУ ФСТЭК и говорить - ууууу, не, этих не надо ставить, у них уязвимости.. Возьмём лучше вот других, у них в БДУ нет ничего..

3 ответов

30 просмотров

Ээээ, багбаунти - это финальная стадия в рамках безопасной разработки/AppSec. Если ты заранее не знаешь, как устранять уязвимости в чужом коде, то на багбаунти нет смысла идти

Alex-Ivanov Автор вопроса
Alexey Lukatsky
Ээээ, багбаунти - это финальная стадия в рамках бе...

это понятно. Тут есть казус - формально у всех 56939 и все-все-все ))) А по факту не всё гладко )) И есть косяки, вот, например, о которых я знаю и которым уже лет пять и не фиксены они.. ((

А ты не устраивай в незрелых компаниях открытые багбаунти и прочее штуки, вроде секьюрити чемпионов... Пока развития должных процессов нет - устраивай внутренние, за всякие локальные тугрики, которые можно обменять на попсовое популярное барахло вроде плейстейшн 5, роботизированных пылесосов, VR-гаджетов для дополненной реальности, сотовых трубок и т.д. Проверено - это работает. Ну а как ягодки поспеют - тогда думай об открытых таких программах. 😉

Похожие вопросы

Обсуждают сегодня

Гайс, вопрос для разносторонее развитых: читаю стрим с юарта, нада выделять с него фреймы с определенной структурой, если ли чо готовое, или долбаться с ринг буффером? нада у...
Vitaly
9
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
длина пакета фиксированная, или меняется?
Okhsunrog
7
Вот еще странный косяк, подскажите как бороться. Я git clone сделал себе всего embassy и примеры там запускаю. Всё хорошо. Но вот решил в cargo.toml зависимости не как в приме...
Lukutin R2AJP
5
А в каком формате фреймы? Сам формат сейчас придумываешь, или что-то готовое нужно распарсить?
Okhsunrog
5
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
Всем привет, нужна как никогда, нужна помощь с IO в загрузчике. Пишу в code16 после установки сегментных регистров, пишу вывод символа. Пробовал 2 варианта: # 1 mov $0x0E, %a...
Shadow Akira
14
Раз начали говорить про embassy, то присоединюсь со своими парой вопросов. 1) Есть ли сопоставимые аналоги для асинхронного кода в emdebbed? 2) Можно ли внутри задач embassy ...
NI_isx
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Карта сайта