در زیر ۵ پلتفرم برتر Bug Bounty در دنیا و توضیحات مختصری در مورد هرکدام از این شرکت‌ها آمده است:

برای دیدن سایز بزرگ روی عکس کلیک کنید نام: Top-5-Bug-Bounty-Programs.png مشاهده: 17 حجم: 71.6 کیلو بایت

۱- HackerOne
HackerOne توسط بسیاری از سرمایه‌گذاران معتبر مورد حمایت قرار می‌گیرد و شناخته شده‌ترین برند Bug Bounty در جهان است.

طبق آخرین گزارش سالانه HackerOne، بیش از ۱۷۰۰ شرکت به پلتفرم HackerOne برای افزایش ظرفیت و تست امنیت برنامه‌های خود اعتماد کرده‌اند. این گزارش همچنین می‌گوید که محققان امنیتی این شرکت فقط در سال ۲۰۱۹ حدود ۴۰ میلیون دلار پاداش و به طور مجموع ۸۲ میلیون دلار درآمد کسب کرده‌اند.

HackerOne همچنین به دلیل میزبانی برنامه‌های Bug Bounty دولت ایالات‌متحده از جمله وزارت دفاع ایالات متحده و برنامه‌های Vulnerability Disclosure ارتش ایالات متحده مشهور است.
مانند برخی دیگر از ارائه دهندگان تجاری برنامه‌های Bug Bounty و Vulnerability Disclosure (VDP) این شرکت هم اکنون خدمات تست‌نفوذ را نیز ارائه می‌کند که توسط محققان امنیتی بررسی شده از سراسر جهان انجام می‌شود.
HackerOne دارای مجموعه‌ای معتبر از گواهینامه‌های امنیتی از جمله ISO 27001 و مجوز FedRAMP است.

۲- BugCrowd
BugCrowd که توسط متخصص امنیت سایبری کیسی الیس تاسیس شده است، احتمالاً خلاق‌ترین پلتفرم Bug Bounty است. BugCrowd نه تنها خدمات سنتی تست ‌امنیت گروهی را ترویج می‌کند، بلکه به مدیریت سطح و طیف وسیعی از خدمات تست‌نفوذ برای اینترنت اشیا، API و حتی شبکه نیز کمک می‌کند و در بازار کاری که به سرعت در حال رشد است، از رقبای خود جلوتر است.

BugCrowd به دلیل میزبانی برنامه‌های Bug Bounty برای غول‌های صنعتی دنیا مانند آمازون، VISA و eBay و همچنین انجمن آموزش امنیت سایبری (ISC) مشهور است.
بسیاری از مبتدیان در حوزه تحقیقات امنیتی به لطف وبینارهای امنیتی در حال انجام و آموزش‌های دانشگاه BugCrowd به خوبی با BugCrowd آشنا هستند.

۳- OpenBugBounty
پروژه OpenBugBounty تنها پلتفرم غیرانتفاعی Bug Bounty در لیست ما است. رتبه الکسای آن می‌گوید OpenBugBounty در شرف پشت سر گذاشتن بیشتر رقبای تجاری خود است.

OpenBugBounty با بیش از ۱۲۰۰ برنامه Bug Bounty فعال، درصورت شناسایی این مسئله با استفاده از روش‌های non-intrusive، اجازه انتشار هماهنگ مسائل امنیتی را در هر وب‌سایتی نیز می‌دهد. ایجاد Bug Bounty در این پلتفرم کاملا رایگان است و دارندگان وب‌سایت نیز برنامه پرداخت پول به محققان ندارند.

OpenBugBounty میزبان برنامه‌های Bug Bounty برای شرکت‌هایی مانند A1 Telekom Austria و Drupal است که تاکنون بیش از ۲۰،۰۰۰ محقق امنیتی، تقریبا ۸۰۰،۰۰۰ آسیب‌پذیری امنیتی ارائه داده‌اند. این پلتفرم می‌گوید سیاست‌ها و فرآیندهای افشای آن بر اساس استاندارد ISO 29147 است.

OpenBugBounty همچنین با CERTهای ملی و آژانس‌های اجرای قانون با ارائه یک API رایگان به پلتفرم، در عین محرمانه نگه داشتن جزئیات آسیب‌پذیری، همکاری می‌کند؛ مگر اینکه یک محقق یافته‌های خود را برای عموم افشا کند.

۴- SynAck
SynAck با حمایت بسیاری از صندوق‌های معروف VC، از جمله Intel Capital و Kleiner Perkins چهار بار متوالی از ۲۰۱۵ تا ۲۰۱۹ به عنوان “CNBC Disruptor” انتخاب شد. SynAck در بالای پلتفرم‌های تجاری Bug Bounty قرار دارد، همچنین در بین ۲۵ استارت‌آپ برتر نرم‌‌افزارهای سازمانی Gartner نیز قرار دارد.

SynAck توسط جی کاپلان و مارک کوهر، پیشکسوتان معتبر آژانس‌های امنیت ملی ایالات متحده تأسیس شد، و تیمی نخبه از محققان امنیت سایبری کاملاً آزمایش شده به نام Red Team” (SRT)” را پیشنهاد(ارائه) می‌دهد. براساس گفته SynAck گروه SRT متشکل از کارشناسان امنیتی با سابقه و تأیید شده با تجربه معتبر در صنعت امنیت است.

SynAck با انجام مراقبت‌های جامع در Red Team و ضبط تمام فعالیت‌های آنها برای تجزیه و تحلیل یا بررسی در آینده، با موفقیت خود را به عنوان پیشرو در خدمات آزمایش امنیت، مورد اعتماد واقع کرده است. SynAck با موفقیت در مشارکت و اتحاد با رهبران این صنعت از جمله مایکروسافت، AWS و HPE خود را توسعه داده است که نشان‌دهنده پتانسیل قوی آن برای رشد بیشتر است.

۵- YesWeHack
YesWeHack ستاره در حال پیشرفت برای ۲۰۲۱ و تنها شرکت افشای آسیب‌پذیری اروپا است. YesWeHack شرکت‌های مستقر در اتحادیه اروپا را که نگرانی اصلی آنها حفظ حریم خصوصی و محافظت از داده‌ها است را جذب می‌کند. YesWeHack به تازگی با ثبت ركورد ۲۵۰٪ رشد طی سال ۲۰۲۰ در آسیا نشان داد كه استارت‌آپ‌های اروپایی قادر به مقیاس‌گذاری جهانی هستند.

YesWeHack مانند BugCrowd به خوبی آماده سرمایه‌گذاری در منابع انسانی خود است. YesWeHack سال گذشته یک برنامه آموزشی را برای کمک به کاربران Bug Bounty با استفاده از پلتفرم YesWeHack DOJO به کار گرفت. این برنامه دارای دوره‌های مقدماتی و چالش‌های آموزشی متمرکز بر آسیب‌پذیری‌های امنیتی خاص است.
محققان امنیتی از سراسر جهان می‌توانند با استفاده از DOJO مهارت‌های تست امنیت نرم‌افزار خود را ارتقا دهند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

62

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *