Российский ответ HackerOne: Standoff Bug Bounty получил официальный статус

Платформа Standoff Bug Bounty, предназначенная для организации программ по поиску уязвимостей за вознаграждение, созданная компанией Positive Technologies в мае 2022 года, включена в реестр российского программного обеспечения. Этот статус позволяет государственным учреждениям использовать платформу для проведения багбаунти-программ с целью повышения уровня защищенности своей инфраструктуры от кибератак.

Решение Минцифры России от 15 ноября 2024 года классифицировало Standoff Bug Bounty как средство автоматизации процессов информационной безопасности. Платформа предоставляет возможность автоматизировать поиск уязвимостей в продуктах и инфраструктуре, что делает процесс их обнаружения более эффективным.

Включение Standoff Bug Bounty в реестр российского ПО гарантирует надежность и локальную разработку программного обеспечения. Платформа полностью независима от иностранных компаний и зарубежных технологий, что делает ее подходящей для работы с объектами критической информационной инфраструктуры (КИИ). Это особенно важно в связи с запретом на использование иностранного ПО на объектах КИИ, который начнет действовать с начала 2025 года, согласно Указу Президента РФ № 166.

По словам директора по консалтингу центра компетенции Positive Technologies Юлии Вороновой, внесение платформы в реестр расширяет круг ее клиентов за счет государственных организаций, предъявляющих требования к происхождению ПО. Она отметила, что этот шаг позволит привлечь больше специалистов по информационной безопасности для поиска и устранения уязвимостей, обеспечивая высокий уровень защиты инфраструктуры.

За время работы Standoff Bug Bounty на платформе зарегистрировались более 16 тысяч исследователей безопасности, а компании запустили свыше 80 программ. С момента запуска багхантеры подали около 8000 отчетов, из которых 12% касались критически опасных уязвимостей, а 20% — уязвимостей высокого уровня опасности. Сумма выплат за обнаруженные проблемы превысила 148 миллионов рублей, а максимальные вознаграждения сравнимы с выплатами на мировых платформах.

Эксперты Positive Technologies отмечают рост числа уязвимостей, выявленных в российском ПО в 2024 году, почти втрое по сравнению с 2023 годом. 20% из них представляют критическую угрозу. В таких условиях организациям рекомендуется запускать багбаунти-программы как современный и эффективный способ повышения уровня информационной безопасности.