Apple объявила о значительном расширении своей программы вознаграждения за ошибки в 2019 году, предлагая более высокие выплаты исследователям, поддержку Mac, специальные устройства для разработчиков и многое другое. Два года спустя Apple называет обновленную программу вознаграждений за ошибки «безоговорочным успехом», а в отчете Washington Post говорится, что исследователи в области безопасности «пресытились» этой программой.
Отчет включает в себя примечательную историю Тянь Чжана, разработчика программного обеспечения iOS, который утверждает, что отправил в Apple несколько сообщений об ошибках и так и не получил платеж. Фактически, Чжан говорит, что вместо этого его выгнали из программы Apple Developer Program:
Тянь Чжан, инженер-программист iOS, впервые сообщил об ошибке в Apple в 2017 году. После нескольких месяцев ожидания, пока Apple исправит ошибку, Чжан потерял терпение и решил написать в блоге о своем открытии. Во второй раз, когда он сообщил об уязвимости в системе безопасности, он сказал, что Apple исправила его, но проигнорировала его. В июле Чжан сообщил Apple об очередной ошибке, за которую, по его словам, можно было получить вознаграждение. Программное обеспечение было быстро исправлено, но Чжан не получил вознаграждения. Вместо этого его исключили из программы Apple Developer Program. Членство в программе необходимо для возможности отправлять приложения в App Store. Apple не стала комментировать обвинения Чжана.
Несколько подобных историй цитируется в отчете Washington Post, в том числе исследователи, которые говорят, что Apple слишком много времени для завершения выплат, и говорят, что конкуренты, такие как Facebook и Microsoft, используют более эффективные программы вознаграждения за ошибки. Google (6,7 миллиона долларов в 2020 году) и Microsoft (13,6 миллиона долларов) также заплатили больше, чем Apple (3,7 миллиона долларов).
В отчете также указывается, что у Apple «огромное количество не исправленных ошибок», со ссылкой на анонимные источники:
Однако суммы платежей — не единственный фактор успеха. Лучшие программы поддерживают открытые разговоры между хакерами и компанией. Apple, уже известная своей молчаливостью, ограничивает общение и обратную связь о том, почему она решает платить или не платить за ошибку, по словам исследователей безопасности, которые отправили сообщения об ошибках в программу вознаграждений, и бывшего сотрудника, который говорил на условиях анонимности. из-за соглашения о неразглашении.
Apple также имеет огромное количество ошибок, которые она не исправила, по словам бывшего и нынешнего сотрудников, которые также говорили на условиях анонимности из-за NDA.
В своем заявлении Иван Крстич, глава отдела разработки и архитектуры безопасности Apple, сказал, что программа поощрения ошибок до сих пор имела «безоговорочный успех» и что Apple упорно работает над «масштабированием программы».
«Программа Apple Security Bounty имела безоговорочный успех», — сказал Иван Крстич, глава отдела разработки и архитектуры безопасности Apple, в заявлении по электронной почте. По его словам, Apple почти удвоила сумму, которую она выплатила в виде вознаграждений за ошибки в этом году, по сравнению с прошлым годом, и является лидером отрасли по средней сумме вознаграждения, выплачиваемой за вознаграждение.
«Мы упорно работаем над масштабированием программы во время ее резкого роста, и мы продолжим предлагать высшие награды исследователям безопасности, работающим с нами бок о бок, чтобы защитить наших пользователей и их данные на более чем миллиардах устройств Apple по всему миру», добавил он.
Одним из лакомых кусочков сегодняшнего отчета является то, что Apple, по всей видимости, наняла «нового лидера для своей программы вознаграждения за ошибки» в этом году с «целью ее реформирования». Сообщается, что этот человек работает под руководством Крстича, но Apple не предоставила более подробной информации.
Полный отчет в Washington Post стоит прочитать здесь.
