Минкомсвязи обсуждает возможность использования системы bug bounty для поиска уязвимостей в национальном ПО. Данная программа подразумевает, что «белые хакеры» будут проверять российские программные продукты на наличие недоработок и багов и отправлять свои отчеты разработчикам в обмен на некоторое денежное вознаграждение.
Поводом для появления такого предложения стало преимущественно низкое качество приложений, внесенных в реестр российского ПО. В рамках программы импортозамещения данный реестр с большой скоростью пополняется продуктами, которые по своим задачам дублируют зарубежные аналоги, но не могут сравниться с ними по качеству.
«Сырое» и ненадежное ПО уже стало причиной большого ущерба в банковских системах, поэтому софт для данной сферы на сегодняшний день пишется по-другому. Он уже готов обеспечить финансовым компаниям требуемую степень защиты, чего нельзя сказать об остальных сферах деятельности.
Система bug bounty отлично работает как в других странах, так и в некоторых частных российских компаниях. Так, например, ищутся уязвимости в популярной социальной сети «ВКонтакте» и некоторых других принадлежащих Mail.Ru Group проектах.
Проверка отечественных разработок независимыми экспертами позволит разработчикам получать качественные отчеты об ошибках и своевременно исправлять недочеты, однако использование программы bug bounty подразумевает выделение немалых средств для выплаты вознаграждений участникам, а также финансирование рабочей группы, которой потребуется поручить проверку качества работы хакеров.
В правительстве отметили, что в госбюджете денег на финансирование указанных мероприятий нет и не будет, поэтому выделять деньги и заниматься оценкой результатов хакерских отчетов предлагается заинтересованным структурам – например, банкам и самим разработчикам.
Если система bug bounty будет успешно внедрена, в закон могут внести поправки, не позволяющие разработчикам претендовать на внесение их программных продуктов в реестр отечественного ПО, если они не участвуют в таких проверках.