В сентябре Apple впервые запускает программу поиска уязвимостей, в рамках которой будет выплачивать деньги за обнаруженные баги в iOS и последнем поколении аппаратных средств. За самые «дорогие» дыры в безопасности исследователи получат до $200 000, пишет The Verge.
Новая программа поиска багов стартует по приглашениям, которые получат лишь несколько десятков исследователей. Тем не менее, Apple говорит, что со временем программа станет более открытой. Кроме того, если исследователь, не являющийся участником программы, найдёт значимую уязвимость, он также получит приглашение.
Система «инвайтов» нетипична для программ щедрости, однако Apple (со ссылкой на советы других ИТ-компаний) объясняет это необходимостью отсеять большое количество баг-отчётов низкого качества и обеспечить исследователям адекватную поддержку.
На данный момент новая программа ограничивается пятью различными категориями ошибок, за самую ценную можно получить до $200 000.
Такие программы становятся всё более популярным способом поощрения. Uber, Fiat Chrysler и министерство обороны США запустили аналогичные программы в этом году. В авторитетных компаниях вроде Google, Microsoft и Facebook они действуют уже в течение многих лет. Так, Google выплатила более $2 млн в прошлом году, в основном за уязвимости в Android.
До сих пор Apple была одной из последних крупных технологических компаний, обходившейся без программы щедрости, — в расчёте на внутренние команды специалистов в области безопасности и неформальные отношения с исследователями. Такая политика повлекла критику в адрес компании после того, как полиция смогла использовать уязвимости системы, чтобы взломать iPhone «стрелка из Сан-Бернардино».
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.