Bug Bounty…على الرغم من أن Gartner ليس لديه رباعي مخصص مخصص للاختبارات أو اختبار أمان الحشود حتى الآن ، إلا أن Gartner Peer Insights يسرد بالفعل 24 بائعًا في فئة “خدمات التجمع الحشد”.
لقد قمنا بتجميع أفضل 5 منصات واعدة لخطأ الأخطاء لأولئك منكم الذين يتطلعون إلى تعزيز ترسانة اختبار البرمجيات الحالية الخاصة بك بالمعرفة والخبرة من الباحثين الأمن الدوليين:
1. هاكيرون
كونه وحيد القرن مدعوم من قبل العديد من أصحاب الرأسماليين في المشروع ، hackerone ربما تكون العلامة التجارية الأكثر شهرة والمعروفة في العالم في العالم.
وفقًا لتقريرها السنوي الأخير ، فإن أكثر من 1700 شركة تثق في منصة Hackerone لزيادة قدرات اختبار أمان التطبيق الداخلية. يقول التقرير بالمثل إن باحثو الأمن حصلوا على ما يقرب من 40 مليون دولار من المكافآت في عام 2019 وحده و 82 مليون دولار بشكل تراكمي.
تشتهر Hackerone أيضًا باستضافة برامج Bub Bounty للحكومة الأمريكية ، بما في ذلك برامج الإفصاح عن الضعف في وزارة الدفاع الأمريكية والجيش الأمريكي. مثل بعض مقدمي الخدمات التجارية الآخرين لبرامج الإفصاح عن القابلية للضعف (VDP) ، يقدم Hackerone الآن خدمات اختبار الاختراق محشوة بباحثين أمان تم فحصهم من جميع أنحاء العالم. لدى Hackerone مجموعة قوية من شهادات الأمان ، بما في ذلك ISO 27001 و FedRamp Ouditation.
2. bugcrowd
أسسها خبير الأمن السيبراني كيسي إليس ، bugcrowd ربما يكون منصة Bounty الأكثر إبداعًا وإبداعًا. لا يعزز Bugcrowd بنشاط خدمات اختبار أمن الحشود التقليدية فحسب ، بل أيضًا مهاجمة إدارة السطح وطيف واسع من خدمات اختبار الاختراق لإنترنت الأشياء و API وحتى الشبكة ، والبقاء في صدارة منافسيها في سوق العمل الحشود المتنامي بسرعة.
تعلن Bugcrowd أيضًا عن العديد من قدرات تكامل دورة حياة تطوير البرمجيات (SDLC) ، مما يجعل سير عمل DevSecops أسرع وأسهل لعملائهم الأثرياء.
تشتهر Bugcrowd باستضافة برامج Bug Bounty لعمالقة الصناعة مثل Amazon و Visa و eBay ، بالإضافة إلى جمعية تعليم الأمن السيبراني (ISC) المجلس (ISC). العديد من المبتدئين في أبحاث الأمن على دراية جيدة بـ BugCrowd بفضل جامعة Bugcrowd ، وندوات الويب الأمان المستمرة ، وتدريب BugCrowd بذكاء على حد سواء لعملائها والباحثين.
3. OpenBugbounty
الارتفاع OpenBugbounty المشروع هو الكشف الوحيد عن الضعف غير الهادفة للربح ومنصة Bug Bounty في قائمتنا. تقول رتبة أليكسا إن OpenBugbounty على وشك تجاوز معظم منافسيها التجاريين بنجاح.
مع وجود أكثر من 1200 برنامج نشط Bug Bounty ، يسمح OpenBugbounty أيضًا بالإفصاح عن مشكلات الأمان على أي موقع على موقع ويب إذا تم اكتشاف المشكلة بوسائل غير تابعة. إن إنشاء برنامج Bug Bounty مجاني تمامًا ، ولا يُطلب من مالكي موقع الويب إجراء مدفوعات نقدية للباحثين – ولكن يتم تشجيعهم على الأقل على شكر الباحثين وتقديم توصية عامة لجهودهم.
يستضيف OpenBugbounty برامج Bug Bounty لشركات مثل A1 Telekom Austria و Drupal ، مع أكثر من 20.000 باحث أمني وحوالي 800000 من نقاط الضعف الأمنية المقدمة حتى الآن. تقول المنصة إن سياساتها وعمليات الإفصاح تستند إلى معيار ISO 29147.
يتعاون OpenBugbounty أيضًا مع أجهزة التصريف الوطنية ووكالات إنفاذ القانون من خلال تزويدهم بأهوب واجهة برمجة تطبيقات مجانية للمنصة مع الحفاظ على تفاصيل الضعف السرية ما لم يكشف الباحث عن النتائج التي توصل إليها للجمهور.
4. سيناك
بدعم من العديد من أموال VC الشهيرة ، بما في ذلك Intel Capital و Kleiner Perkins ، سيناك تم تسمية شركة “CNBC Disruptor” أربع مرات متتالية ، من 2015 إلى 2019. يقف Synack على قمة منصات Bounty Bounty التجارية ، والتي تم تسميتها أيضًا في أفضل 25 برامج للمؤسسات في Gartner.
أسسها جاي كابلان ومارك كور ، الرؤى الأمنية والمحاربين القدامى في وكالات الأمن القومي الأمريكية ، يقدم Synack فريقًا من النخبة من باحثو الأمن السيبراني الذين تم فحصهم تمامًا المعروفين باسم “Red Team” (SRT). وفقًا لـ Synack ، تتكون مجموعة SRT من خبراء أمن ذوي خلفيات تم التحقق منها وخبرة في الصناعة الموثوقة.
نجح Synack في وضع نفسه كقائد في خدمات اختبار أمن الحشود الموثوقة من خلال أداء العناية الواجبة الشاملة على فريقهم الأحمر وتسجيل جميع أنشطتهم للتحليل أو المراجعة المستقبلية. أخيرًا ، قامت Synack بنجاح بتطوير شراكات وتحالفات التكنولوجيا مع قادة الصناعة ، بما في ذلك Microsoft و AWS و HPE ، مما يدل على إمكانات قوية لمزيد من النمو.
5. Yeswehack
Yeswehack هو النجم الصاعد لتصنيفنا لعام 2021. إحدى شركة الكشف عن الحشرات الأوروبية والضعف ، تجذب Yeswehack بكفاءة الشركات التي تستند إلى الاتحاد الأوروبي والتي تتمثل قلقها الرئيسي في الخصوصية والبيانات. في الآونة الأخيرة ، أعلنت Yeswehack عن نمو قياسي بنسبة 250 ٪ خلال عام 2020 في آسيا ، مما يدل على أن الشركات الناشئة الأوروبية قادرة على التوسع على مستوى العالم.
على غرار Bugcrowd ، Yeswehack مستعدة جيدًا للاستثمار في رأس مالها البشري. في العام الماضي ، أطلقت برنامجًا تدريبيًا للمساعدة في صيادين Bug Bounty Hunters على صقل مهاراتهم في الاختراق مع منصة Yeswehack Dojo. إنه يتميز بدورات تمهيدية وتحديات التدريب التي تركز على نقاط الضعف والملاعب الأمنية المحددة.
مع DoJo ، يمكن للباحثين الأمن من جميع أنحاء العالم تحسين مهارات اختبار أمن البرمجيات الخاصة بهم. أخيرًا ، يوضح Yeswehack بشكل مقنع قدرته على جذب العملاء الأوروبيين ذوي السمعة الطيبة مثل تكتل OVH الفرنسي.
بينما تهدف هذه المقالة إلى سرد 5 منصات Bug Bounty ، هناك العديد من المنصات الممتازة والفريدة في السوق ، بما في ذلك itigriti، واحدة من الشبكة الرائدة للمتسللين الأخلاقيين في أوروبا.
بدأت Bug Buttes تحولها من اختبار أمن الحشد الخالص إلى منصات الأمن السيبرانية الكل في واحد ، مما يوفر اختبار تغلغل كلاسيكي وعدد لا يحصى من الخدمات الأخرى. اليوم ، من الصعب التنبؤ بمدى نجاح عروضهم ضد MSSPs التقليدية وبائعي الأمن السيبراني ؛ ومع ذلك ، فإن Bug Boutsies ابتكرت بالتأكيد مكانًا جديدًا مع إمكانات قوية.
بينما المفتوح والمجاني OpenBugbounty يجلب المشروع النضج في العمل ، كما فعل Linux مفتوح المصدر ضد Microsoft منذ عقود ، وتوليد في وقت لاحق أعمال Red Hat بمليارات.
هذا مؤشر على أن سوق Bug Bounty أصبح أكبر وأكثر تنافسية بينما لا يزال القادمون الجدد ينضمون إلى اللعبة. ربما نتوقع المزيد من رأس المال الاستثماري وصفقات الاندماج والشراء تعزز المزيد من التوسع في سوق أمن الحشود.
