Расширение программы Intel’s Bug Bounty Program: увеличенные награды за выявление уязвимостей на основе анализа сторонних каналов

Автор: Рик Эчеварриа (Rick Echevarria)

В Intel мы считаем, что взаимодействие с исследователями безопасности является важной составляющей нашей работы по выявлению потенциальных проблем безопасности в наших продуктах и по минимизации их последствий. Как и многие другие компании, мы создали в рамках нашей операционной модели программу поиска ошибок и уязвимостей. Программа Intel® Bug Bounty Program была запущена в 2017 году и ее целью является предложить исследователям безопасности стимулы для совместной работы и взаимодействия с нами по поиску и публикации потенциальных уязвимостей. В свою очередь, это помогает нам повысить безопасность наших продуктов, и в то же время позволяет обеспечить максимально ответственное и координированное раскрытие информации об обнаруженных уязвимостях.

Подробнее:  Уязвимости безопасности и продукты Intel  (Пресс-кит) | Результаты исследования безопасности (Intel.com)

Согласованное и скоординированное раскрытие информации считается в отрасли наилучшим способом защитить заказчиков от уязвимостей безопасности. Такое раскрытие сводит к минимальному риску того, что пригодная для организации атак информация станет доступна общественности до того, как появятся обновления для устранения уязвимости. В рамках тесной работы с нашими партнерами по отрасли и с нашими заказчиками мы призываем всех придерживаться ответственного и координированного подхода к раскрытию информации. Благодаря этому повышается вероятность того, что в распоряжении пользователей уже будут необходимые решения к тому моменту, когда будет впервые объявлено о той или иной уязвимости. Bug Bounty Program

В рамках нашего недавнего публичного обещания уделять первостепенное внимание вопросам безопасности мы внесли ряд изменений в нашу программу поиска ошибок и уязвимостей. Мы считаем, что эти изменения позволят нам более активно взаимодействовать с сообществом исследователей безопасности и обеспечат более привлекательный стимул для координированных усилий и согласованного раскрытия информации, что в конечном итоге поможет защитить наших заказчиков и их данные.

Среди изменений в работе нашей программы:

  • Переход от программы, работающей только по приглашениям, к программе, открытой для всех исследователей безопасности, что значительно расширяет пул исследователей, которые смогут принять участие в программе.
  • Представлена новая программа, сосредоточенная на выявление уязвимостей с атаками по сторонним каналам, которая будет действовать до 31 декабря 2018 года. Сумма вознаграждения за выявленные в рамках этой программы уязвимости может достигать 250 тысяч долларов.
  • Увеличены суммы вознаграждений по всей программе выявления уязвимостей, при этом размер вознаграждений по другим направлениям может достигать 100 тысяч долларов.

Более подробную информацию о программе, в том числе об ее новых условиях можно получить на сайте безопасности Intel и на нашей странице HackerOne.

Мы будем по мере необходимости продолжать развивать нашу программу поиска ошибок и уязвимостей для выполнения данного нами обещания уделять первостепенное внимание вопросам безопасности. Заранее благодарим всех участников отрасли, которые решили принять в ней участие.

Рик Эчеварриа (Rick Echevarria) является вице-президентом и генеральным управляющим подразделения Platform Security в корпорации Intel.

О корпорации Intel

Intel (NASDAQ: INTC) раздвигает границы технологий, чтобы сделать возможными самые удивительные впечатления. Более подробная информация об Intel и о результатах работы более 100 тысяч сотрудников компании представлена на сайтах newsroom.intel.ru и www.intel.com.

Intel и логотип Intel являются торговыми марками корпорации Intel в США и в других странах.

*Прочие наименования и торговые марки могут быть собственностью соответствующих владельцев.