Исходное сообщение
"Компания Intel представила программу выплаты вознаграждений ..." Отправлено opennews, 16-Фев-18 23:59
Компания Intel представила (https://newsroom.intel.com/news/expanding-intels-bug-bounty-.../) новую инициативу (https://security-center.intel.com/BugBountyProgram.aspx) по выплате вознаграждений за выявление уязвимостей в своих продуктах. В отличие от ранее действовавшей программы, участники которой отбирались  по приглашениям, в новой программе может принять участие любой исследователь безопасности. Максимальный размер вознаграждения за уязвимости увеличен до 100 тысяч долларов (минимальная премия - $500). Для атак на оборудование по сторонним каналам, таким как Meltdown, учреждена отдельная премия, выплаты по которой составляют от 5 до 250 тысяч долларов. Размер выплаты сильно зависит от уровня опасности уязвимости  (CVSS) и типа продукта. За критическую уязвимость (CVSS 9.0 - 10.0)   в программном обеспечении (драйверы, приложения и утилиты, за исключением открытых проектов) максимальная премия составляет $10000, в прошивках (UEFI BIOS, Intel ME, BMC, прошивки SSD-накопителей) - $30000, в оборудовании (CPU, сетевые карты, материнские платы, SSD, FPGA  и т.п.) - $100000, в оборудовании при атаке через ПО по сторонним каналам - $250000. Для опасных уязвимостей (CVSS 7.0 - 8.9) размер выплат может доходить до $5000, $15000, $30000  и $100000 соответственно. Для уязвимостей средней опасности (CVSS 4.0 - 6.9) выплаты могут доходить до $1500, $3000, $5000 и $20000, а для неопасных проблем (CVSS 0.1 - 3.9) до $500, $1000, $2000 и $5000. Например, для Meltdown и Spectre уровень опасности был определён в 5.6, что соответствует выплате в 20 тысяч долларов. URL: https://newsroom.intel.com/news/expanding-intels-bug-bounty-.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48089