Конкурсы на поиск уязвимостей

Конкурс – не новая, но набирающая популярность форма подтверждения устойчивости ко взлому программ, информационных систем и конфигураций. Она является альтернативой процедуре сертификации в профессиональной лаборатории. По сравнению с последней пентест -конкурс имеет такие преимущества:

1. число тестировщиков больше, оно может достигать огромных величин;
   
2. специализация тестировщиков шире;
   
3. заказчик платит только за результат, если уязвимостей не найдено, платить не придётся;
   
4. можно точнее оценить риски, например, если систему не взломали при размере премии 100 тыс. рублей, то в ней можно смело хранить ценности на эту сумму, зная, что злохакеры даже пытаться не будут.

Недостатки конкурса по сравнению с профессиональной сертификацией:

1. для привлечения большого числа желающих потестировать требуется хорошая реклама;
   
2. вряд ли удастся сохранить в тайне исходники, если только они использовались при тестировании;
   
3. для сильнодырявых систем можно заплатить больше премий, чем было запланировано;
   
4. сроки тестирования немного длиннее, чем в лаборатории.

Обратите внимание на первый недостаток. Нужна реклама, чтоб набежало достаточно много достаточно разносторонних добр охакеров . Величиной премий тут не компенсировать. О проводимом тестировании должны в короткие сроки узнать сотни компетентных людей, которые обычно уже чем-то заняты и не проводят дни в поисках подработки.

Отсюда с неизбежностью вытекает, что тестирование следует объявлять не каждому производителю отдельно, а через посредника-агрегатора. В одном месте следует сосредоточить все объявляемые конкурсы , именно это место рекламировать, именно туда завлекать знающих людей, а там уже предлагать несколько объектов для поиска уязвимостей. Производителям же следует нести свои продукты на тестирование в этот единый центр.

Кто может и кто готов стать таким центром? Есть предложения?