Тарификация ЖКХ уязвимостей Минцифры рассматривает введение «государственных трафив» за найденные в рамках багбаунти уязвимости — такой информацией на прошлой неделе поделился Александр Шойтов, заместитель министра Минцифры. Вопрос пока что находится на стадии очень раннего обсуждения, но уже можно предположить, что основная аудитория тарифов — это федеральные и региональные ГИСы, которые за последний год идут на багбаунти достаточно активно. Сейчас вполне можно найти региональную программу, где за critical-уязвимость полагается выплата в 30-50 тысяч рублей. При наличии общих тарифов владельцам багбаунти-программ, по идее, будет проще обосновать бОльший бюджет перед своими финансовыми отделами. Но это при условии, что тарифы будут соответствовать рынку. В теории, тарификация багбаунти может быть полезна и для бизнеса. Многие компании не запускают полноценные багбаунти-программы, но взаимодействуют с исследователями безопасности. В таком случае у них появится наглядный ориентир по минимальным выплатам — сократится количество случаев, когда за найденную багу исследователю будут предлагать ветку бонусы. Есть и обратная сторона — не совсем порядочные багхантеры могут преподносить этот стандарт как обязательный, и пытаться требовать баунти с рандомных компаний, набив пачку уязвимостей сканером. Тема сложная, рисков много, поэтому будем с интересом наблюдать за развитием событий. @cybersachok