багбаунти, заплатишь денег, что-то найдут. И что с этим делать? купленные библиотеки самим перепиливать? Код RTOS править самим? Ну даже, допустим, получилось, а дальше - какой выхлоп? Все только пальцем будут показывать на тебя как сам себе проблем нашёл.. А при формировании решения архитекторы будут проверять БДУ ФСТЭК и говорить - ууууу, не, этих не надо ставить, у них уязвимости.. Возьмём лучше вот других, у них в БДУ нет ничего..
Ээээ, багбаунти - это финальная стадия в рамках безопасной разработки/AppSec. Если ты заранее не знаешь, как устранять уязвимости в чужом коде, то на багбаунти нет смысла идти
это понятно. Тут есть казус - формально у всех 56939 и все-все-все ))) А по факту не всё гладко )) И есть косяки, вот, например, о которых я знаю и которым уже лет пять и не фиксены они.. ((
А ты не устраивай в незрелых компаниях открытые багбаунти и прочее штуки, вроде секьюрити чемпионов... Пока развития должных процессов нет - устраивай внутренние, за всякие локальные тугрики, которые можно обменять на попсовое популярное барахло вроде плейстейшн 5, роботизированных пылесосов, VR-гаджетов для дополненной реальности, сотовых трубок и т.д. Проверено - это работает. Ну а как ягодки поспеют - тогда думай об открытых таких программах. 😉
Обсуждают сегодня