idNSA.id - Bagi kamu yang ingin meningkatkan tools pengujian perangkat lunak dengan pengetahuan dan keahlian dari peneliti keamanan internasional, Berikut ini 5 platform bug bounty paling menjanjikan, dikutip dari situs TheHackerNews:
Pertama, HackerOne.
Platform ini Menjadi unicorn yang didukung oleh banyak pemodal ventura terkemuka, HackerOne mungkin adalah merek Bug Bounty yang paling terkenal dan dikenal di dunia.
Menurut laporan tahunan terbaru mereka, lebih dari 1.700 perusahaan mempercayai platform HackerOne untuk meningkatkan kapasitas pengujian keamanan aplikasi internal mereka. Laporan tersebut juga mengatakan bahwa peneliti keamanan mereka memperoleh sekitar $ 40 juta dalam bentuk hadiah pada tahun 2019 saja dan $ 82 juta secara kumulatif.
HackerOne juga terkenal sebagai tuan rumah program Bug Bounty pemerintah AS, termasuk program pengungkapan kerentanan Departemen Pertahanan AS dan Angkatan Darat AS. Seperti beberapa penyedia komersial Bug Bounties dan Vulnerability Disclosure Programs (VDP) lainnya, HackerOne sekarang juga menawarkan layanan pengujian penetrasi yang diisi dengan peneliti keamanan yang berpengalaman dari seluruh dunia. HackerOne memiliki portofolio sertifikasi keamanan yang solid, termasuk ISO 27001 dan otorisasi FedRAMP.
Kedua, BugCrowd.
Platform Bugbounty ini didirikan oleh pakar keamanan siber Casey Ellis, BugCrowd mungkin adalah platform Bug Bounty yang paling kreatif dan inventif. BugCrowd secara aktif mempromosikan tidak hanya layanan pengujian crowd security tradisional tetapi juga menyerang surface manajemen dan spektrum luas layanan pengujian penetrasi untuk IoT, API, dan bahkan jaringan, tetap berada di depan pesaing mereka di crowd labor market yang berkembang pesat.
BugCrowd juga dengan tepat mengiklankan berbagai kapasitas integrasi Development Life Cycle (SDLC), membuat alur kerja DevSecOps lebih cepat dan lebih mudah untuk klien kaya mereka.
BugCrowd terkenal sebagai tuan rumah program Bug Bounty untuk raksasa industri seperti Amazon, VISA, dan eBay, serta asosiasi pendidikan keamanan siber yang dihormati (ISC). Banyak pemula dalam penelitian keamanan yang sangat mengenal BugCrowd berkat BugCrowd University, webinar keamanan yang berkelanjutan, dan pelatihan BugCrowd yang cerdas dan mengatur dengan baik untuk pelanggan dan peneliti mereka.
Ketiga, OpenBugBounty
Proyek OpenBugBounty yang sedang mengalami kenaikan adalah satu-satunya pengungkapan kerentanan nirlaba dan platform Bug Bounty di daftar kami. Peringkat Alexa-nya mengatakan OpenBugBounty akan mengungguli sebagian besar pesaing komersialnya dengan sukses.
Lebih dari 1.200 program Bug Bounty aktif, OpenBugBounty juga mengizinkan pengungkapan terkoordinasi tentang masalah keamanan di situs web mana pun jika masalah tersebut terdeteksi dengan cara yang tidak mengganggu. Pembuatan program Bug Bounty benar-benar gratis, dan pemilik situs web tidak diharuskan membayar uang kepada para peneliti - tetapi disarankan untuk memberikan tanda terima kasih kepada para peneliti dan memberikan rekomendasi publik atas upaya mereka.
OpenBugBounty menyelenggarakan program Bug Bounty untuk perusahaan seperti A1 Telekom Austria dan Drupal, dengan lebih dari 20.000 peneliti keamanan dan hampir 800.000 kerentanan keamanan telah dikirimkan sejauh ini. Platform tersebut mengatakan kebijakan dan proses pengungkapannya didasarkan pada standar ISO 29147.
OpenBugBounty juga bekerja sama dengan CERT nasional dan lembaga penegak hukum dengan memberi mereka API gratis ke platform sambil menjaga kerahasiaan detail kerentanan, kecuali jika peneliti mengungkapkan temuannya kepada publik.
Keempat, SynAck
Didukung oleh banyak dana VC terkenal, termasuk Intel Capital dan Kleiner Perkins, SynAck dinobatkan sebagai perusahaan "CNBC Disruptor" empat kali berturut-turut, dari 2015 hingga 2019. SynAck berdiri di atas platform Bug Bounty komersial, juga disebut dalam 25 Perusahaan Perintis Perangkat Lunak Terbaik Gartner .
Didirikan oleh Jay Kaplan dan Mark Kuhr, visioner keamanan dan veteran terkemuka dari badan keamanan nasional AS, SynAck menawarkan tim elit peneliti cybersecurity secara menyeluruh diperiksa dikenal sebagai "Tim Merah" (SRT). Menurut SynAck, grup SRT terdiri dari pakar keamanan dengan latar belakang terverifikasi dan pengalaman industri yang kredibel.
SynAck berhasil memposisikan dirinya sebagai pemimpin dalam layanan pengujian keamanan jumlah besar dengan melakukan uji tuntas komprehensif pada Tim Merah dan merekam semua aktivitas mereka untuk analisis atau tinjauan di masa mendatang. Terakhir, SynAck telah berhasil mengembangkan kemitraan dan aliansi teknologi dengan para pemimpin industri, termasuk Microsoft, AWS, dan HPE, yang menunjukkan potensi kuat untuk pertumbuhan lebih lanjut.
Kelima, YesWeHack
YesWeHack adalah rising star dari kami untuk tahun 2021. Satu-satunya Eropa Bug Bounty dan pengungkapan kerentanan perusahaan, YesWeHack efisien menarik perusahaan berbasis Uni Eropa yang perhatian utamanya adalah privasi yang ketat dan perlindungan data. Baru-baru ini, YesWeHack mengumumkan rekor pertumbuhan 250% selama tahun 2020 di Asia, yang menunjukkan bahwa perusahaan rintisan Eropa mampu melakukan penskalaan secara global.
Mirip dengan BugCrowd, YesWeHack sangat siap untuk berinvestasi pada sumber daya manusianya. Tahun lalu, ia meluncurkan program pelatihan untuk membantu pemburu Bug Bounty mengasah keterampilan meretas mereka dengan platform YesWeHack DOJO. Ini menampilkan kursus pengantar dan tantangan pelatihan yang berfokus pada kerentanan keamanan dan taman bermain tertentu.
Dengan DOJO, peneliti keamanan dari seluruh dunia dapat meningkatkan keterampilan pengujian keamanan perangkat lunak mereka. Terakhir, YesWeHack secara persuasif menunjukkan kapasitasnya untuk menarik pelanggan terkemuka Eropa seperti konglomerat OVH Prancis.
Bug Bounties telah memulai transformasi mereka dari pengujian keamanan kelompok murni menjadi platform keamanan siber all-in-one, menawarkan pengujian penetrasi klasik dan berbagai layanan lainnya. Saat ini, sulit untuk memprediksi seberapa sukses penawaran mereka terhadap MSSP tradisional dan vendor keamanan siber; namun, Bug Bounties jelas menciptakan kedudukan pasar baru dengan potensi yang kuat.
Sementara proyek OpenBugBounty yang open dan free membawa kematangan dalam bisnis, seperti yang dilakukan Linux yang terbuka terhadap Microsoft beberapa dekade yang lalu, kemudian melahirkan bisnis multi-miliar Red Hat.
Ini merupakan indikator bahwa pasar Bug Bounty menjadi lebih besar dan lebih kompetitif sementara para pendatang baru masih bergabung dalam permainan. Kita mungkin mengharapkan lebih banyak lagi kesepakatan Modal Ventura dan M&A yang mendorong perluasan pasar keamanan crowd lebih lanjut.
