Вот тоже интересная идея! Допустим, по вашим корпоративным стандартам положено пентестить каждый web-сервис, который должен волей бизнеса быть доступен из Интернет. Видя приз в $5000 могу с уверенностью сказать, что эта сумма значительно ниже заказного пентеста. Может, лучше такие конкурсы объявлять, чем конкурсы на выбор подрядчика?!
- Нет риска, что работа будет выполнена плохо: действительно платим только победителю, значит, он что-то найдет (можно тут ознакомиться с примерно полным перечнем опасений).
- Цена - крайне привлекательна.
3 comments:
Как-то страшно отдавать на растерзание "интернетам" сервисы.
В течение срока аудита тебе нельзя будет реагировать на подозрительную активность. И потом, где вероятность того, что дыры твоего сервиса не появятся на закрытых форумах.
Ну и прежде чем кидаться в толпу, нужно основательно проплатить жизнь консультантов, чтобы очевидные дыры заделать :).
Прошу заметить противоречие - нужно за простые дыри платить много, а за сложную работу - мало.
Отсюда идея.
Разработчик твоего сервиса, в соответствии с ТЗ должен выставить продукт в интернет и объявить такой конкурс. Пусть разработчик платит за дыры!
Еще мысль - создать ресурс, на котором люди смогут бывать, только заслужив такую возможность. В этом случае, как минимум будет очерчен круг людей, которые могут тебя протестировать. Только это опять поднимет цены тк возникнет конкуренция.
Кстати о конкуренции - такие предложения заметны, пока их мало.
Игорь, спасибо за советы! Вот видишь, мы уже потихоньку с тобой набрасываем стратегию управления такими конкурсами.... Основная цель всего этого, повторюсь, защититься от Подрядчиков-разгильдяев, которые будут с честными глазами заявлять, что никаких уязвимсотей не найдено, кроме, понятнеое дело, организационных контролей: такую инструкцию написать, такую отчетность ирпдумать и прочую дребедень. Причем, их и обвинить-то не в чем: они не будут врать, поскольку они действительно показали что могли!
Post a Comment