Опыт Ozon на Standoff Bug Bounty: зачем компаниям выходить на багбаунти

Описание: Взгляд на багхантинг со стороны заказчиков Standoff Bug Bounty — компании OZON

С первой своей программой ребята вышли в далеком 2020-м, а на нашу платформу — в конце прошлого года. Так что у них есть лайфхаки и инсайты и для багхантеров, и для компаний, которые только собираются на багбаунти.

Тимофей Черных, возглавляющий отдел продуктовой безопасности OZON, и его коллега Дмитрий Емельянов, руководитель группы безопасности приложений, рассказали:

• Зачем компаниям собственные багбаунти-программы, и что нужно для их запуска
• Как встроить багбаунти в процессы риска и безопасной разработки
• Каким изначально был скоуп OZON и как он менялся в процессе
• Почему багбаунти может быть эффективнее пентестов (на примере Standoff Hacks во время которого багхантеры сдали OZON шесть критов)
• Как правильно репортить и работать с репортами

И это далеко не все, что уместилось в почти десятиминутное интервью.

Смотри его целиком, чтобы узнать больше и заглядывай в багбаунти-программу OZON на нашей платформе (недавно скоуп в ней расширили, а сумма выплаченных баунти приближается к 4,5 млн ₽!):

https://bugbounty.standoff365.com/pro...