Apple повышает ставки и открывает программу премирования за найденные уязвимости

Корпорация Apple официально объявила о важных изменениях в своей программе премирования исследователей за найденные уязвимости. Эти изменения были анонсированы представителями Apple еще в августе на конференции по кибербезопасности Black Hat security в Лас-Вегасе и затрагивают как порядок участия в программе, так и суммы вознаграждений. Прежде всего, программа становится открытой для всех желающих – ранее участвовать в ней могли лишь исследователи, получившие специальное приглашение от корпорации. Кроме того, теперь программа премирования распространяется не только на мобильную операционную систему iOS, но и на многие другие продукты и сервисы Apple, включая iPadOS, macOS, tvOS, watchOS и iCloud. И, наконец, существенно увеличивается максимальная возможная сумма вознаграждения: с 200 тысяч долларов по полутора миллионов.

Впрочем, чтобы получить столь крупную сумму исследователям придется серьезно потрудиться. В первую очередь размер премии зависит от характера и степени опасности уязвимости. Также Apple предъявляет достаточно строгие требования к отчетам: они должны содержать исчерпывающее описание проблемы, перечень шагов, необходимых для ее возникновения, обязательным условием является возможность воспроизведения проблемы самими инженерами Apple в ходе тестирования. Дополнительным плюсом является предоставление эксплойта. 50-процентный бонус к премии может быть начислен за обнаружение уязвимостей в бета-релизах, а также так называемых регрессивных уязвимостей – тех, которые однажды уже были выявлены и исправлены, но затем случайно вновь оказались в кодах более новых версий продуктов.

Источник: ZDNet