در زیر ۵ پلتفرم برتر Bug Bounty در دنیا و توضیحات مختصری در مورد هرکدام از این شرکتها آمده است:
۱- HackerOne
HackerOne توسط بسیاری از سرمایهگذاران معتبر مورد حمایت قرار میگیرد و شناخته شدهترین برند Bug Bounty در جهان است.
طبق آخرین گزارش سالانه HackerOne، بیش از ۱۷۰۰ شرکت به پلتفرم HackerOne برای افزایش ظرفیت و تست امنیت برنامههای خود اعتماد کردهاند. این گزارش همچنین میگوید که محققان امنیتی این شرکت فقط در سال ۲۰۱۹ حدود ۴۰ میلیون دلار پاداش و به طور مجموع ۸۲ میلیون دلار درآمد کسب کردهاند.
HackerOne همچنین به دلیل میزبانی برنامههای Bug Bounty دولت ایالاتمتحده از جمله وزارت دفاع ایالات متحده و برنامههای Vulnerability Disclosure ارتش ایالات متحده مشهور است.
مانند برخی دیگر از ارائه دهندگان تجاری برنامههای Bug Bounty و Vulnerability Disclosure (VDP) این شرکت هم اکنون خدمات تستنفوذ را نیز ارائه میکند که توسط محققان امنیتی بررسی شده از سراسر جهان انجام میشود.
HackerOne دارای مجموعهای معتبر از گواهینامههای امنیتی از جمله ISO 27001 و مجوز FedRAMP است.
۲- BugCrowd
BugCrowd که توسط متخصص امنیت سایبری کیسی الیس تاسیس شده است، احتمالاً خلاقترین پلتفرم Bug Bounty است. BugCrowd نه تنها خدمات سنتی تست امنیت گروهی را ترویج میکند، بلکه به مدیریت سطح و طیف وسیعی از خدمات تستنفوذ برای اینترنت اشیا، API و حتی شبکه نیز کمک میکند و در بازار کاری که به سرعت در حال رشد است، از رقبای خود جلوتر است.
BugCrowd به دلیل میزبانی برنامههای Bug Bounty برای غولهای صنعتی دنیا مانند آمازون، VISA و eBay و همچنین انجمن آموزش امنیت سایبری (ISC) مشهور است.
بسیاری از مبتدیان در حوزه تحقیقات امنیتی به لطف وبینارهای امنیتی در حال انجام و آموزشهای دانشگاه BugCrowd به خوبی با BugCrowd آشنا هستند.
۳- OpenBugBounty
پروژه OpenBugBounty تنها پلتفرم غیرانتفاعی Bug Bounty در لیست ما است. رتبه الکسای آن میگوید OpenBugBounty در شرف پشت سر گذاشتن بیشتر رقبای تجاری خود است.
OpenBugBounty با بیش از ۱۲۰۰ برنامه Bug Bounty فعال، درصورت شناسایی این مسئله با استفاده از روشهای non-intrusive، اجازه انتشار هماهنگ مسائل امنیتی را در هر وبسایتی نیز میدهد. ایجاد Bug Bounty در این پلتفرم کاملا رایگان است و دارندگان وبسایت نیز برنامه پرداخت پول به محققان ندارند.
OpenBugBounty میزبان برنامههای Bug Bounty برای شرکتهایی مانند A1 Telekom Austria و Drupal است که تاکنون بیش از ۲۰،۰۰۰ محقق امنیتی، تقریبا ۸۰۰،۰۰۰ آسیبپذیری امنیتی ارائه دادهاند. این پلتفرم میگوید سیاستها و فرآیندهای افشای آن بر اساس استاندارد ISO 29147 است.
OpenBugBounty همچنین با CERTهای ملی و آژانسهای اجرای قانون با ارائه یک API رایگان به پلتفرم، در عین محرمانه نگه داشتن جزئیات آسیبپذیری، همکاری میکند؛ مگر اینکه یک محقق یافتههای خود را برای عموم افشا کند.
۴- SynAck
SynAck با حمایت بسیاری از صندوقهای معروف VC، از جمله Intel Capital و Kleiner Perkins چهار بار متوالی از ۲۰۱۵ تا ۲۰۱۹ به عنوان “CNBC Disruptor” انتخاب شد. SynAck در بالای پلتفرمهای تجاری Bug Bounty قرار دارد، همچنین در بین ۲۵ استارتآپ برتر نرمافزارهای سازمانی Gartner نیز قرار دارد.
SynAck توسط جی کاپلان و مارک کوهر، پیشکسوتان معتبر آژانسهای امنیت ملی ایالات متحده تأسیس شد، و تیمی نخبه از محققان امنیت سایبری کاملاً آزمایش شده به نام Red Team” (SRT)” را پیشنهاد(ارائه) میدهد. براساس گفته SynAck گروه SRT متشکل از کارشناسان امنیتی با سابقه و تأیید شده با تجربه معتبر در صنعت امنیت است.
SynAck با انجام مراقبتهای جامع در Red Team و ضبط تمام فعالیتهای آنها برای تجزیه و تحلیل یا بررسی در آینده، با موفقیت خود را به عنوان پیشرو در خدمات آزمایش امنیت، مورد اعتماد واقع کرده است. SynAck با موفقیت در مشارکت و اتحاد با رهبران این صنعت از جمله مایکروسافت، AWS و HPE خود را توسعه داده است که نشاندهنده پتانسیل قوی آن برای رشد بیشتر است.
۵- YesWeHack
YesWeHack ستاره در حال پیشرفت برای ۲۰۲۱ و تنها شرکت افشای آسیبپذیری اروپا است. YesWeHack شرکتهای مستقر در اتحادیه اروپا را که نگرانی اصلی آنها حفظ حریم خصوصی و محافظت از دادهها است را جذب میکند. YesWeHack به تازگی با ثبت ركورد ۲۵۰٪ رشد طی سال ۲۰۲۰ در آسیا نشان داد كه استارتآپهای اروپایی قادر به مقیاسگذاری جهانی هستند.
YesWeHack مانند BugCrowd به خوبی آماده سرمایهگذاری در منابع انسانی خود است. YesWeHack سال گذشته یک برنامه آموزشی را برای کمک به کاربران Bug Bounty با استفاده از پلتفرم YesWeHack DOJO به کار گرفت. این برنامه دارای دورههای مقدماتی و چالشهای آموزشی متمرکز بر آسیبپذیریهای امنیتی خاص است.
محققان امنیتی از سراسر جهان میتوانند با استفاده از DOJO مهارتهای تست امنیت نرمافزار خود را ارتقا دهند.
یک نظر