Минкомсвязи привлечет независимых исследователей безопасности к поиску уязвимостей в российском ПО с помощью программ по выплате вознаграждения (Bug Bounty). Так сообщают “Известия”, ссылаясь на заместителя министра Минкомсвязи Алексея Соколова. Исследователи за вознаграждение будут искать уязвимости в продуктах, включенных в реестр отечественного ПО.
При внедрении государственных информационных систем из реестра российского ПО заказчики должны сами принимать решение о требованиях по защите информации. Основная проблема заключается в том, что качество программного кода на российском рынке оставляет желать лучшего. В банковской сфере ситуация уже улучшается, однако во всех остальных областях проблема остается нерешенной. Необходимо заинтересовать разработчиков в размещении своих программных продуктов в реестре отечественного ПО, к тому же продукт должен быть качественным. Программы по выплате вознаграждения за обнаруженные уязвимости помогут компаниям продемонстрировать качество своих разработок.
Исследователи безопасности обнаруживают уязвимости в предоставленных разработчиками продуктах и получают за это определенное вознаграждение. Эксперты также описывают заказчику полный порядок действий по воспроизведению уязвимости. Однако иногда специалисты компании-разработчика недостаточно квалифицированы для ее воспроизведения. Также не всегда есть возможность выложить дистрибутив программы для исследования.
Как отмечают в Минкомсвязи, применение программ по выплате вознаграждения будет спонсироваться при помощи грантов от частных лиц и предприятий, а привлечение государственных ресурсов и средств из федерального бюджета не планируется. (Новости/NovostIT)
