Вопреки бытующему мнению, программы вознаграждения, в которых участвует большое количество исследователей, не приносят организациям большой пользы.
Организациям более выгодно напрямую нанимать исследователей в области безопасности, чем запускать программы вознаграждение за найденные уязвимости. К такому выводу пришли специалисты Массачусетского технологического института (MIT) по итогам проведенного исследования .
Исследователи изучили программу вознаграждений Facebook, а также более 60 программ, запущенных на платформе HackerOne для Twitter, Coinbase, Square и других компаний.
Как выяснилось, вопреки бытующему мнению, программы вознаграждения, в которых участвует большое количество исследователей, не приносят организациям большой пользы. Как правило, только малая часть экспертов предоставляет большое количество качественных отчетов об уязвимости. Именно к ним уходит значительная часть призового фонда.
Согласно исследованию, семь наиболее «продуктивных» участников программы Facebook зарабатывали всего $34 255 в год при обнаружении в среднем 0,87 ошибок в месяц, а в случае с программами на HackerOne лидеры зарабатывали только $16 544 при выявлении 1,17 ошибок в месяц в среднем.
Безусловно, бывают исключения. К примеру, компания Zerodium, специализирующаяся на купле-продаже эксплоитов на различных платформах, недавно увеличила сумму награды за эксплоиты для багов в iOS до $2 млн. Тем не менее для многих исследователей в области безопасности программы вознаграждения являются, скорее, дополнением к зарплате, чем основным источником заработка.
Никаких овечек — только отборные научные факты