В «Яндексе» делают ставку на «охотников» за уязвимостями

В компании «Яндекс» намерены расширять и углублять взаимодействие с независимыми тестерами своих продуктов. По мнению руководства российского IT-гиганта, программа «Охота за ошибками», начатая год назад, принесла замечательные результаты и будет развиваться дальше.

За прошедший год, в рамках программы «Охота за ошибками», разработчики сервисов и мобильных приложений «Яндекса» получили более тысячи отчётов об обнаруженных уязвимостях от сторонних пользователей, что позволило устранить около трёхсот критичных ошибок кода.

Яндекс

Главной целью программы было выявление уязвимостей в работе сайтов «Яндекс» и приложений для мобильных устройств, работающих под управлением операционных системам iOS и Android. Наибольший интерес для разработчиков представляют недостатки в работе сервисов, касающиеся пользовательской информации, поддержки конфиденциальности и прав доступа.

Участники программы «Охота за ошибками» за истекший год получили от компании денежные вознаграждения на общую сумму более 5 миллионов рублей. Размеры выплат «охотникам» варьируются в зависимости от категории сервиса (различаются «критичные» и «прочие»), а также от класса обнаруженной уязвимости.

К числу критичных сервисов относятся: Почта, Диск, Паспорт, Карты, Мой Круг, Календарь, стартовая страница Яндекс, страница поисковой выдачи. В списке критичных мобильных приложений: Почта, Карты, Навигатор, Музыка, Маркет.

Размер стандартных денежных вознаграждений колеблется от 3 000 рублей (за обнаружение ошибки конфигурации веб-окружения в прочих сервисах) до 30 000 рублей (за извещение об уязвимости класса «инъекция» в критичном сервисе). В отдельных случаях, «Яндекс» готов повышать размер денежных призов, а контактные данные наиболее отличившихся «охотников» помещают в «Зал славы».

По словам представителей компании «Яндекс» ее специалистами была разработана новая, усовершенствованная концепция взаимодействия между отделом разработки и независимыми тестерами. Новая схема сотрудничества будет представлена в ходе конференции ZeroNights, которая пройдёт с 7 по 8 ноября 2013 года.

Стоит отметить, что зарубежные IT-компании весьма плотно сотрудничают с независимыми «охотниками» за уязвимостями, выплачивая солидные вознаграждения. В российском сегменте всемирной паутины программа от «Яндекс» это первый опыт такого рода взаимодействия с «хакерами, перешедшими на светлую сторону».