Bangkitnya Proyek Bounty Bug Terbuka

Dapatkah Anda bayangkan meluncurkan platform karunia bug global dengan hampir 500.000 pengajuan dan 13.000 peneliti tanpa mengkonsumsi satu sen pun dari pemodal ventura? Jika tidak, kisah sukses ini untuk Anda.

Industri karunia bug yang dulu meroket tampaknya tidak dalam kondisi terbaik saat ini. Sementara para peneliti keamanan terkemuka berbicara tentang banyak rintangan yang mereka alami dengan platform karunia bug komersial terkemuka, yang terakhir mencoba untuk mengubah diri mereka sebagai "pengujian penetrasi generasi mendatang" atau layanan serupa. Anda menjadi hakim seberapa sukses mereka nantinya.

Dana ventura yang murah hati telah mengalirkan jutaan dolar ke dalam startup dengan karunia bug yang cepat yang belum menggantikan layanan Managed Penetration Testing (MPT) (sebagaimana beberapa dinyatakan). Namun, startup ini secara positif meningkatkan rasio harga / kualitas layanan pengujian pena di pasar global.

Di tengah ketidakpastian untuk masa depan platform bug komersial, proyek Open Bug Bounty nirlaba telah menunjukkan pertumbuhan dan daya tarik yang cukup mengesankan dalam laporan tahunannya mulai tahun 2019:

Baru pada tahun 2019 platform bug bounty non-komersial, berbasis ISO 29147 melaporkan hal berikut:

• 203.449 kerentanan keamanan dilaporkan secara total (500 per hari), yang merupakan pertumbuhan 32% dari tahun ke tahun
• 101.931 kerentanan diperbaiki oleh pemilik situs web, menunjukkan a 30% pertumbuhan dibandingkan dengan tahun sebelumnya
• 5,832 peneliti keamanan baru bergabung dengan komunitas, membawa jumlah total peneliti dan pakar keamanan ke 13.532
• 383 program hadiah bug baru dibuat oleh pemilik situs web, sekarang menawarkan 657 program secara total dengan lebih dari 1,342 situs web untuk diuji

Hari ini, Open Bug Bounty telah menjadi tuan rumah 680 bug bounty, menawarkan remunerasi moneter atau non-moneter untuk peneliti keamanan dari lebih dari 50 negara. Perusahaan global seperti Telekom Austria, Acronis, atau United Domains menjalankan karunia bug mereka di Open Bug Bounty.

Di antara pemilik situs web yang bahagia, yang berterima kasih kepada para peneliti atas pengungkapan terkoordinasi dan bertanggung jawab melalui platform, orang dapat menemukan Dell, IKEA, Twitter, Verizon, Philips, beberapa lembaga pemerintah dan organisasi internasional, beberapa sekolah hukum dan firma hukum, dan bahkan American Bar Association (ABA) – jangan bingung dengan minum bir sekalipun.

Awalnya, Open Bug Bounty menerima pengajuan XSS, CSRF, Kontrol Akses yang Tidak Benar, dan masalah keamanan lainnya pada kondisi situs web apa pun untuk pengujian yang sangat tidak mengganggu, pengungkapan yang terkoordinasi, dan penghormatan terhadap kode perilaku mereka:

Pada tahun 2019, situasi berkembang dengan memungkinkan siapa pun untuk meluncurkan hadiah bug untuk situs webnya tanpa biaya atau komisi, dapat diakses oleh semua 13.000 peneliti:

Open Bug Bounty kemudian mengumumkan peningkatan integrasi DevSecOps yang ada dengan alat dan instrumen baru, melengkapi integrasi SDLC yang sudah tersedia dengan Jira dan Splunk.

Menariknya, laporan 2019 juga menyebutkan minat yang meningkat dari perusahaan cybersecurity dalam bermitra dengan atau bahkan mengakuisisi proyek, namun, jelas menyatakan bahwa platform akan selalu menjaga keterbukaan dan integritasnya.

Kami berhasil mendapatkan wawancara eksklusif dengan tim Open Bug Bounty tentang masa depan proyek:

Bagaimana Anda melihat tahun 2020 untuk Bounty Bug Terbuka?
Kami akan melakukan ekspansi tanpa henti dengan menambahkan fitur, opsi, dan integrasi baru. Kami dengan cermat mendengarkan komunitas kami dan mencoba menerapkan semua peningkatan yang bermanfaat bagi pemilik situs web dan peneliti keamanan. Kelincahan, kesederhanaan, dan keandalan adalah prioritas utama bagi kami ketika membangun fitur baru.

Apakah Anda berencana untuk bermitra dengan proyek karunia bug komersial atau perusahaan keamanan siber?
Kami terbuka untuk proposal yang akan membantu kami meningkatkan proyek, mempertahankan tempat yang terbuka dan nyaman bagi pemilik situs web, dan peneliti keamanan, yang diatur oleh rasa hormat dan keadilan.

Apakah Anda mencari dana ventura atau sumbangan?
Kami adalah sekelompok kecil penggemar keamanan siber, menghabiskan waktu luang kami untuk proyek antara kehidupan keluarga dan pekerjaan. Untuk saat ini, kami merasa cukup nyaman dengan beban kerja dan bahkan berhasil menyegarkan desain sehingga lebih cerah dan ceria. Kami sengaja tidak menerima donasi dan tidak menampilkan iklan komersial, mengingat bahwa komunitas kami terutama didorong oleh impian untuk mengamankan Web.

Seberapa terlihat dampak Anda terhadap industri keamanan siber?
Peneliti dan pemilik situs web kami mungkin adalah orang terbaik untuk menjawab pertanyaan ini. Dari pihak kami, kami melihat semakin banyak siswa cybersecurity yang memulai praktik mereka dengan Open Bug Bounty, pengembang perangkat lunak membantu rekan-rekan mereka untuk menjaga keamanan yang lebih baik dan pemburu bug profesional yang mencari alternatif yang lebih transparan untuk platform karunia bug komersial. Kami mengarahkan perhatian pada keamanan aplikasi, mempromosikan proyek OWASP, dan mencoba meningkatkan kesadaran keamanan web global di antara pemilik situs web dan pengembang perangkat lunak.

Apakah Anda menganggap platform hadiah bug komersial sebagai pesaing Anda?
Tidak, kami lebih suka saling melengkapi dalam satu atau lain cara. Ini seperti perangkat lunak sumber terbuka dan perangkat lunak komersial. Filosofi mereka cukup berbeda, tetapi mereka hidup berdampingan secara harmonis dan menambah nilai satu sama lain. Semakin banyak penawaran yang ada di pasar, semakin baik konsumen dan pelaku lainnya.

Bagaimana seseorang bisa menghubungi Anda?
Ada formulir web aman di situs web kami. Kirimi kami detail kontak Anda di sana, dan kami akan menghubungi Anda.

Atas nama The Hacker News, kami dengan tulus berharap tim Open Bug Bounty mendapatkan kesuksesan yang layak dalam apa yang mereka lakukan untuk meningkatkan keamanan web global.

Langkah selanjutnya: