Prozorro запускає програму пошуку вразливостей та запрошує «білих» хакерів виявити недоліки у її захисті. Відтепер пошук вразливостей у електронній системі закупівель буде діяти на постійній основі.
Білий хакінг визнаний одним з найпопулярніших та найдієвіших способів віднайдення вразливостей в ІТ-системах. «Монстри» IT бізнесу вже давно та успішно використовують такі програми (Google, Facebook, Amazon та інші), що не притаманно державним структурам, особливо в Україні. Нам не звикати «лупати скалу», тож ми одна із перших державних ІТ-систем, що розпочинає програму пошуку вразливостей Bug Bounty на постійній основі.
Для пошуку вразливостей учасникам доступне тестове середовище та інформація для роботи з ним: копія центральної бази даних, офіційний портал, кабінет Антимонопольного комітету України, кабінет Державної аудиторської служби, майданчики, що залучені до програми BugBounty та необмежена кількість часу на дослідження.
Все відбувається в правовому полі, адже всі дії відбуватимуться на pre-production environment (те саме тестове середовище). Також усім учасникам гарантують правову безпеку за умови дотримання правил участі.
Минулого року ДП «Прозорро» стало однією з перших державних структур, яка запросила хакерів перевірити стійкість системи. Минулорічні результати такого аудиту підтвердили надійність електронної системи закупівель: жодної вразливості у центральній базі даних та модулі аукціонів виявлено не було. Водночас Bug Bounty-2019 дозволив виправити деякі помилки і зробити інтерфейс системи більш дружнім до користувачів. З цього року марафон пошуку вразливостей триватиме на постійній основі.
Звіти про виявлені вразливості приймають на електронну адресу disclosure@prozorro.ua з темою листа: EPS Bug Bounty Program.
Більше про умови та правила участі тут.
