VISS
В январе 2023 года команда программы Bug Bounty взяла на себя обязательство создать, доработать и выпустить инновационный механизм для измерения реального воздействия эксплуатации уязвимости на систему. Внедрение системы оценки воздействия уязвимостей (Vulnerability Impact Scoring System, VISS) в марте стало результатом коллективной работы над открытым исходным кодом на Github.
Компания Zoom использует VISS уже более года и наблюдает растущий интерес со стороны других команд по поиску уязвимостей, которые стремятся к более объективной оценке воздействия уязвимостей. Коллективная работа и обратная связь о VISS до сих пор были положительными. Исследователи в области безопасности также вносят свой вклад, что повышает эффективность коллективной работы и целенаправленность VISS, а также прозрачный подход Zoom к управлению вознаграждениями за обнаруженные ошибки.
«VISS позволяет нам адаптировать работу исследователей в области безопасности таким образом, чтобы мы сосредоточились на наиболее важных аспектах с наибольшей степенью влияния и распределяли выплаты надлежащим образом, — объясняет Майкл Адамс, директор по информационной безопасности Zoom. — Мне важна не только надлежащая оплата, но и соответствующий уровень мотивации. Однако, если я не могу внести ясность в систему подсчета баллов, пояснить это будет крайне трудно. Сегодня же у нас есть возможность внести определенную ясность», — говорит он.
Для того чтобы тщательно изучить особенности и попробовать созданный компанией Zoom калькулятор системы VISS, ознакомьтесь с полным описанием системы VISS.
HackerOne
Мы также были рады стать спонсором мероприятия HackerOne H1-4420 в этом году, которое состоялось 22 июня 2023 года в CodeNode в Лондоне. Это мероприятие предоставило нам бесценную возможность коллективной работы с более чем 90 самыми талантливыми этичными хакерами из 41 страны, которые повышают безопасность платформы Zoom вместе. Активно взаимодействуя с этим сообществом, мы можем не только снизить риски, но и стимулировать инновации, а также непрерывно повышать качество услуги. Стоит отметить, что это лишь краткий обзор мероприятия и его результатов.
Награды программы Bug Bounty
2023 год был важным для нас: мы выплатили вознаграждение за обнаружение ошибок в размере более 2,4 миллиона долл. США более чем за 1000 отдельных действительных заявок, представленных более чем 200 различными исследователями в области безопасности. Таким образом, сумма общего призового фонда программы Bug Bounty превысила 10 миллионов долл. США.