«Хватит слать нам отчёты! Денег всё равно не заплатим». HackerOne сообщила о приостановке программы Internet Bug Bounty
NewsMakerЖелающих помочь стало так много, что модераторы просто утонули в письмах.
Рынок Bug Bounty меняется на глазах, и один из самых заметных сигналов пришёл от Internet Bug Bounty. Программа, больше десяти лет поощрявшая поиск опасных ошибок в открытом ПО, остановила приём новых заявок . Причина связана не с нехваткой интереса, а с тем, что искусственный интеллект резко ускорил поиск слабых мест и нарушил прежний баланс между обнаружением проблем и их исправлением.
HackerOne, которая администрирует Internet Bug Bounty, сообщила, что с 27 марта новые отчёты в рамках программы больше не принимают. Вознаграждения за найденные уязвимости в открытом исходном коде тоже временно прекращаются. В компании пояснили, что пересматривают саму модель программы и ищут новый подход к защите проектов в условиях, когда ИИ заметно увеличил скорость и масштаб поиска ошибок.
Internet Bug Bounty работает с 2012 года при поддержке крупных разработчиков ПО. За всё время программа выплатила авторам отчётов свыше 1,5 млн долларов. Прежняя схема предполагала, что 80% средств шло за обнаружение уязвимостей, а ещё 20% направляли на помощь с устранением найденных проблем. Теперь в HackerOne считают, что такой механизм уже не соответствует реальности, поскольку находить ошибки стало проще, а ресурсов на исправление по-прежнему не хватает.
Одним из первых проектов, которых коснутся перемены, станет Node.js. Команда платформы продолжит принимать сообщения об уязвимостях через HackerOne, но выплаты в рамках Internet Bug Bounty прекратятся. Для сообщества открытого ПО такой шаг выглядит показательным, поскольку речь идёт об одном из самых заметных инфраструктурных проектов с огромной экосистемой.
Решение HackerOne вписывается в более широкий тренд. В январе этого года о закрытии собственной программы вознаграждений сообщил проект curl. В марте Google приостановила приём отчётов об ошибках в open source, созданных с помощью ИИ, сославшись на низкое качество таких материалов. На фоне этих решений становится всё заметнее, что индустрия пытается понять, как использовать возможности ИИ без потока слабых или бесполезных находок.
Рынок Bug Bounty меняется на глазах, и один из самых заметных сигналов пришёл от Internet Bug Bounty. Программа, больше десяти лет поощрявшая поиск опасных ошибок в открытом ПО, остановила приём новых заявок . Причина связана не с нехваткой интереса, а с тем, что искусственный интеллект резко ускорил поиск слабых мест и нарушил прежний баланс между обнаружением проблем и их исправлением.
HackerOne, которая администрирует Internet Bug Bounty, сообщила, что с 27 марта новые отчёты в рамках программы больше не принимают. Вознаграждения за найденные уязвимости в открытом исходном коде тоже временно прекращаются. В компании пояснили, что пересматривают саму модель программы и ищут новый подход к защите проектов в условиях, когда ИИ заметно увеличил скорость и масштаб поиска ошибок.
Internet Bug Bounty работает с 2012 года при поддержке крупных разработчиков ПО. За всё время программа выплатила авторам отчётов свыше 1,5 млн долларов. Прежняя схема предполагала, что 80% средств шло за обнаружение уязвимостей, а ещё 20% направляли на помощь с устранением найденных проблем. Теперь в HackerOne считают, что такой механизм уже не соответствует реальности, поскольку находить ошибки стало проще, а ресурсов на исправление по-прежнему не хватает.
Одним из первых проектов, которых коснутся перемены, станет Node.js. Команда платформы продолжит принимать сообщения об уязвимостях через HackerOne, но выплаты в рамках Internet Bug Bounty прекратятся. Для сообщества открытого ПО такой шаг выглядит показательным, поскольку речь идёт об одном из самых заметных инфраструктурных проектов с огромной экосистемой.
Решение HackerOne вписывается в более широкий тренд. В январе этого года о закрытии собственной программы вознаграждений сообщил проект curl. В марте Google приостановила приём отчётов об ошибках в open source, созданных с помощью ИИ, сославшись на низкое качество таких материалов. На фоне этих решений становится всё заметнее, что индустрия пытается понять, как использовать возможности ИИ без потока слабых или бесполезных находок.