Prozorro будет платить за найденные баги. 2800 грн — за уязвимость высокого уровня

Prozorro сообщила об изменениях в программе поиска уязвимостей — Bug Bounty. Теперь, вместо подарков, участники будут получать денежное вознаграждение за найденную уязвимость в экосистеме Prozorro.

Сколько будут платить

Переход на денежную систему вознаграждений начинается с 17 сентября. Сума вознаграждений будет меняться в зависимости от уровня найденной угрозы:

• За уязвимость высокого уровня (Р1) — 2800 грн,
• Р2 — 1400 грн,
• Р3 — 840 грн,
• уязвимости низкого уровня Р4 и Р5 не будут вознаграждаться.

Кроме того, каждый багхантер будет получать баллы за найденные уязвимости. Рейтинг будет обновляться ежемесячно.

Изменилась и форма самого проекта Prozorro Bug Bounty. Ранее в программе участвовали только Prozorro и электронные площадки, подключенные к системе закупок. Теперь к проекту присоединилась общественная организация «РЕСКИЛЛ», которая будет заниматься координацией и выплатами вознаграждений.

Результаты программы за 3 месяца

В первые три месяца существования проекта Bug Bounty пользователи нашли 61 уязвимость. 49 уязвимостей оказались не критического уровня.

Поиск уязвимостей в системе проходит в тестовой среде, что никак не сказывается на функционировании электронной системы закупок. Участники имеют необходимые доступы, инструментарий и неограниченное количество времени на исследование. Каждый участник может представить отчет о найденных уязвимостях на электронную почту [email protected].