Опыт Ozon на Standoff Bug Bounty: зачем компаниям выходить на багбаунти

Взгляд на багхантинг со стороны заказчиков Standoff Bug Bounty — компании OZON С первой своей программой ребята вышли в далеком 2020-м, а на нашу платформу — в конце прошлого года. Так что у них есть лайфхаки и инсайты и для багхантеров, и для компаний, которые только собираются на багбаунти. Тимофей Черных, возглавляющий отдел продуктовой безопасности OZON, и его коллега Дмитрий Емельянов, руководитель группы безопасности приложений, рассказали: • Зачем компаниям собственные багбаунти-программы, и что нужно для их запуска • Как встроить багбаунти в процессы риска и безопасной разработки • Каким изначально был скоуп OZON и как он менялся в процессе • Почему багбаунти может быть эффективнее пентестов (на примере Standoff Hacks во время которого багхантеры сдали OZON шесть критов) • Как правильно репортить и работать с репортами И это далеко не все, что уместилось в почти десятиминутное интервью. Смотри его целиком, чтобы узнать больше и заглядывай в багбаунти-программу OZON на нашей платформе (недавно скоуп в ней расширили, а сумма выплаченных баунти приближается к 4,5 млн ₽!):