El auge del proyecto Open Bug Bounty

abrir el programa de recompensas por errores

¿Te imaginas lanzar una plataforma global de recompensas por errores con casi 500 000 envíos y 13 000 investigadores sin consumir un centavo de los capitalistas de riesgo? Si no, esta historia de éxito es para ti.

La industria de recompensas por errores que alguna vez se disparó parece no estar en la mejor forma hoy en día. Si bien destacados investigadores de seguridad hablan sobre una multitud creciente de obstáculos que experimentan con las principales plataformas comerciales de recompensas por errores, estas últimas intentan reinventarse como «pruebas de penetración de próxima generación» o servicios similares. Usted sea el juez de cuán exitosos serán.

Generosos fondos de riesgo han invertido muchos millones en nuevas empresas de recompensas por errores que gastan rápidamente y que no han reemplazado los servicios de pruebas de penetración administradas (MPT) (como algunos declararon). Sin embargo, estas startups han mejorado positivamente la relación precio/calidad de los servicios de pen testing en el mercado global.

En medio de la incertidumbre sobre el futuro de las plataformas comerciales de recompensas por errores, el proyecto sin fines de lucro Open Bug Bounty ha demostrado un crecimiento y una tracción bastante impresionantes en su informe anual de 2019:

abrir recompensa por errores

Solo en 2019, la plataforma de recompensas de errores no comercial, basada en ISO 29147, informó lo siguiente:

  • 203,449 o más común Se informaron vulnerabilidades de seguridad en total (500 por día), lo que representa un crecimiento interanual del 32 %.
  • 101.931 más común Las vulnerabilidades fueron corregidas por los propietarios de sitios web, mostrando una 30% crecimiento respecto al año anterior
  • 5.832 o más común nuevos investigadores de seguridad se unieron a la comunidad, llevando el número total de investigadores y expertos en seguridad a 13,532 o más común
  • 383 Los propietarios de sitios web crearon nuevos programas de recompensas por errores, que ahora ofrecen 657 programas en total con más de 1,342 o más común sitios web para probar

Hoy, Open Bug Bounty ya alberga 680 recompensas por errores, ofreciendo remuneración monetaria o no monetaria para investigadores de seguridad de más de 50 países. Compañías globales como Telekom Austria, Acronis o United Domains ejecutan sus recompensas por errores en Open Bug Bounty.

Entre los felices propietarios de sitios web, que agradecieron a los investigadores por la divulgación coordinada y responsable a través de la plataforma, se encuentran Dell, IKEA, Twitter, Verizon, Philips, varias instituciones gubernamentales y organizaciones internacionales, algunas facultades de derecho y bufetes de abogados, e incluso el American Bar. Asociación (ABA) – Sin embargo, no debe confundirse con beber cerveza.

Inicialmente, Open Bug Bounty aceptó presentaciones de XSS, CSRF, control de acceso inadecuado y otros problemas de seguridad en cualquier condición del sitio web para pruebas estrictamente no intrusivas, divulgación coordinada y respeto de su código de conducta:

programa de recompensas por errores

En 2019, la situación evolucionó al permitir que cualquier persona lanzara una recompensa por errores para su sitio web sin tarifas ni comisiones, accesible para los 13,000 investigadores:

hackear computadoras

Open Bug Bounty anunció más tarde la mejora de las integraciones DevSecOps existentes con nuevas herramientas e instrumentos, que complementan las integraciones SDLC ya disponibles con Jira y Splunk.

Curiosamente, el informe de 2019 también menciona el creciente interés de las empresas de ciberseguridad en asociarse o incluso adquirir el proyecto; sin embargo, establece claramente que la plataforma siempre mantendrá su apertura e integridad.

Conseguimos una entrevista exclusiva con el equipo de Open Bug Bounty sobre el futuro del proyecto:

¿Cómo ves el 2020 para el Open Bug Bounty?
Proseguiremos nuestra implacable expansión agregando nuevas funciones, opciones e integraciones. Escuchamos atentamente a nuestra comunidad e intentamos implementar todas las mejoras beneficiosas para los propietarios de sitios web y los investigadores de seguridad. La agilidad, la simplicidad y la confiabilidad son prioridades clave para nosotros al crear nuevas funciones.

¿Planea asociarse con un proyecto comercial de recompensas por errores o una empresa de ciberseguridad?
Estamos abiertos a propuestas que nos ayuden a mejorar el proyecto, manteniendo un lugar abierto y acogedor para los propietarios de sitios web y los investigadores de seguridad, que se rige por el respeto y la equidad.

¿Está buscando financiación de riesgo o donaciones?
Somos un pequeño grupo de entusiastas de la ciberseguridad, dedicando nuestro tiempo libre al proyecto entre la vida familiar y el trabajo. Por el momento, nos sentimos bastante cómodos con la carga de trabajo e incluso logramos actualizar el diseño haciéndolo más brillante y alegre. No aceptamos donaciones a propósito y no mostramos anuncios comerciales, dado que nuestra comunidad está impulsada principalmente por el sueño de proteger la Web.

¿Qué tan visible es su impacto en la industria de la ciberseguridad?
Nuestros investigadores y propietarios de sitios web son probablemente las mejores personas para responder a esta pregunta. Por nuestra parte, vemos un número cada vez mayor de estudiantes de ciberseguridad que comienzan su práctica con Open Bug Bounty, desarrolladores de software que ayudan a sus compañeros a mantener una mejor seguridad y cazadores de errores profesionales que buscan una alternativa más transparente a las plataformas comerciales de recompensas por errores. Llamamos la atención sobre la seguridad de las aplicaciones, promovemos el proyecto OWASP y tratamos de crear conciencia sobre la seguridad web global entre los propietarios de sitios web y los desarrolladores de software.

¿Considera que las plataformas comerciales de recompensas por errores son sus competidores?
No, más bien nos complementamos de una forma u otra. Es como el software de código abierto y el software comercial. Su filosofía es bastante diferente, pero coexisten en armonía y se agregan valor entre sí. Cuantas más ofertas existan en el mercado, mejor estarán los consumidores y otros actores.

¿Cómo puede uno ponerse en contacto con usted?
Hay un formulario web seguro en nuestro sitio web. Déjenos sus datos de contacto allí y nos pondremos en contacto con usted.

En nombre de The Hacker News, le deseamos sinceramente al equipo de Open Bug Bounty un éxito bien merecido en lo que hacen para mejorar la seguridad web global.

Próximos pasos:

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática