Cloudflare запускает общедоступную программу bug bounty

Американская компания Cloudflare, специализирующаяся на веб-инфраструктуре и защите сайтов, объявила о запуске общедоступной программы bug bounty, сообщает Хакер.

С 2018 года компания предлагала исследователям закрытую программу вознаграждения за уязвимости, работающую на базе HackerOne. За пошедшие годы, в рамках этой инициативы, Cloudflare выплатила специалистам более 210 000 долларов.

«Сегодня мы запускаем общедоступную bug bounty программу Cloudflare, — пишет теперь Рушил Шах (Rushil Shah), инженер по безопасности продуктов в Cloudflare. — Мы считаем, что вознаграждения за обнаружение уязвимостей являются жизненно важной частью набора инструментов любой ИБ-команды, и последние несколько лет мы усердно работали над улучшением и расширением нашей приватной программы bug bounty».

Также стоит отметить, что перед запуском открытой программы bug bounty Cloudflare представила тестовую песочницу CumlusFire, которая предлагает охотникам за ошибками стандартизированную площадку для тестирования эксплоитов.

Открытая для всех программа по поиску уязвимостей тоже работает на базе HackerOne. Размер вознаграждений будет зависеть от серьезности проблемы согласно шкале оценки уязвимостей CVSS v3, как видно в таблице ниже.

Искать баги можно в коде таких продуктов, как Stream, резолвер 1.1.1.1, 1.1.1.1/WARP Android и iOS приложения, Magic Transit, Cloudflare Pages, Cloudflare Workers, Argo/Argo, Spectrum, Load Balancing, AMP Real URL, CDNJS, Bot Management, Cloudflare Marketplace (только сама платформа), WAF, а также Cloudflare for Teams.

Разработчики подчеркивают, что стремятся публиковать больше документации, тестовых платформ и предлагать больше способов взаимодействия с командами безопасности, чтобы создать комфортные условия для работы ИБ-специалистов.