OnePlus Security Response Center — це програма винагороди за помилки компанії для тих, хто зацікавлений в оплаті за пошук уразливостей безпеки.
Кібербезпека є більш важливою, ніж будь-коли, оскільки ми входимо в нове десятиліття, яке, безумовно, знову радикально змінить технології, якими ми їх знаємо. І незалежно від того, наскільки великою є ваша команда розробників або як ретельно ви тестуєте програмне забезпечення, деяким критичним уразливостям і помилкам все одно вдається перетнути ставок до стабільного програмного забезпечення. Ось чому кілька компаній, зокрема Samsung, Google, і Huawei, мають програми винагород за помилки, які дозволяють дослідникам безпеки спробувати програмне забезпечення компанії та отримати дуже щедру суму готівки, якщо їм вдасться знайти будь-який критичний експлойт. OnePlus тепер приєднується до цього списку компаній, оскільки вони обіцяно на початку цього року.
OnePlus представила власну програму винагород за помилки, яку вони називають OnePlus Security Response Center, або скорочено OneSCR. Передумова проста: якщо ви (належним чином) знайшли вразливість, ви можете отримати гроші в обмін на (належне) повідомлення про неї. Відкриття цієї програми відбулося майже через два роки після компанії
повідомила про порушення безпеки на своєму платіжному порталі, і через місяць після них виявлено порушення даних клієнтів у OnePlus Store.Однак ця програма винагород за помилки дещо відрізняється від еквівалентів інших компаній, і це через суми виплат. У той час як інші компанії готові запропонувати кілька сотень тисяч доларів за дуже критичну вразливість безпеки, OnePlus пропонує до $7000 за те, що він вважає найбільш критичними загрозами, тоді як менші помилки коштуватимуть лише $50-$100. The Сторінка політики подання пояснює позицію OnePlus щодо відповідального/скоординованого розкриття інформації, взаємодії з обліковим записом, заборонених методів атак, неприйнятних проблем і, нарешті, платежів.
Ось список рівнів винагороди:
- Особливі випадки: до $7000
- Критично: $750 - $1500
- Висока: $250 - $750
- Середній: $100 - $250
- Низька: $50 - $100
Хоча 7000 доларів є пристойною сумою для деяких людей, це дуже далеко від того, що пропонують інші компанії. З компанією OnePlus за розміром і сферою діяльності (вона значно розширилася з моменту запуску OnePlus One 5 років тому) можна очікувати, що виплати за таку програму будуть трохи щедрішими. Тим не менш, ми сподіваємося, що програма допоможе підвищити безпеку продуктів OnePlus. Ви можете надсилати звіти про помилки тут.
OnePlus також заявляє, що співпрацюватиме з HackerOne, хакерською платформою винагород за помилки, щоб запустити пілотна програма у 2020 році, яка запрошує окремих дослідників безпеки перевірити їхні системи на потенційні можливості погрози.
Джерело: OnePlus