вторник, 18 октября 2011 г.

Crowdtesting уже воплотили! #security

   В конце августа я уже обсуждал c Никитой Таракановым из CISS RT в твиттере полезность новых каналов доставки багов, и честно говоря некая платформа доставки багов в веб-приложениях их владельцам казалась мне достаточно привлекательной.
    Оказывается, такую идею уже реализовали! Имя ей HatForce, и про нее даже есть статья на портале Forbes. Суть такова - куча хакеров ищет уязвимости и продает их владельцу за несколько десятков евро (схема оплаты там вообще запутанная, что однозначно плохо). Так же, за 100 евро есть возможность некоего автоматизированного тестирования, на случай если "не было сделано никакого тестирования ранее" (т.е. берем нессус, дорабатываем, и гребем 100 евро за тестирование?..маржа должна быть просто зашибись).
   Однако, с того времени я успел прослушать весь известный подкаст Рунетология, овладеть забавным инструментом определения CMS сайта BuiltWith и теперь думаю, что будущее у проекта может быть не столь безоблачным как мне казалось...
  В чем же заковыка? В идеологии построения ресурсов в Всемирной Паутине прежде всего. Если кратко то она такая:

  • строим технологический, сервисный проект - пилим с нуля или берем гибкую CMS и стоит это дорого именно в разрезе трат на разработку
  • строим контентный проект - берем готовую CMS и немного ее допиливаем, и стоит это намного меньше в разрезе трат на разработку
   Т.е. в первом случае деньги на тест безопасности и так найдутся, тем более, что например известный в Уанете специалист по безопасти MustLive берет от 100 долларов за тест (что кстати, может быть интереснее тупого сканирования или толпы хакеров непонятной квалификации). А вот во втором процесс поиска превращается во многом в поиск уязвимостей в распространенных CMS, в которых почти все уже или вычистили (Bitrix, UMI.CMS) или просто не дадут денег как в open source коробках. Ну и наконец, что мешает пойти на Exploit.In и попытаться получить тот же crowdtesting но в менее формализованном виде и бесплатно?..
   В итоге ниша остается довольна узкая, а именно если у кого уж очень-очень много денег из первого варианта или кто начинал с небольшого допиливания но допилил реально много из второго.

Хорошего дня!

Комментариев нет:

Отправить комментарий