12 мая 2026
Стартовая Короткая версия Полная версия Термины Исследование
Исследование программ поиска уязвимостей и white-label решений Срез источников на 12 мая 2026

Как работают программы поиска уязвимостей и кто предоставляет white-label решения

Срез источников на 12 мая 2026.
Фокус: Bug Bounty / Vulnerability Disclosure Program (VDP), процессы запуска, примеры крупных компаний, коробочные и white-label / private-label решения.

Короткий вывод

Bug bounty: управляемый процесс приема, проверки, исправления и раскрытия уязвимостей. Компания заранее определяет область проверки, правила тестирования, safe harbor, таблицу выплат, SLA, владельцев активов и канал коммуникации. Исследователи отправляют PoC, triage-команда воспроизводит и оценивает риск, инженерные команды исправляют, затем идут ретест, выплата и иногда публичное раскрытие.

Главное различие:

Формат Что это Когда подходит
VDP / responsible disclosure Канал приема уязвимостей с добровольной благодарностью Минимальный зрелый старт, комплаенс, прием случайных находок
Private bug bounty Приглашенная группа исследователей, обычно под NDA/правилами, с наградами Первый платный запуск, контроль шума, чувствительные активы
Public bug bounty Публичная программа с наградами Зрелые команды, понятная область проверки, бюджет и SLA
Managed bug bounty Платформа/провайдер берет на себя запуск, triage, коммуникации, выплаты, аналитику Когда внутренняя triage-функция слабая
White-label / private-label Форма приема отчетов или вся программа выглядят как собственный канал компании Нужно сохранить бренд, встроить в сайт, скрыть внешнего оператора или вести услугу для клиентов

White-label на рынке делится на уровни: брендированная страница, форма приема отчетов на сайте клиента, private-label операционное ведение и полный white-label портал. У лидеров рынка чаще встречаются private-программы, настроенная область проверки, брендированные страницы и встроенные формы отправки отчетов. Обработка, аккаунты исследователей и выплаты остаются на платформе. BugVault заявляет полный white-label. HackerOne и Bugcrowd подтверждают форму приема отчетов на сайте клиента. HyperCrackers и IntegSec работают как сервисные операторы для white-label ведения.

1. Как в целом работают bug bounty программы

Базовая механика

Типовой цикл выглядит так:

  1. Компания публикует правила программы или открывает их для приглашенных участников.
  2. В правилах указаны цели проверки, исключения, ограничения, safe harbor, требования к отчету, таблица выплат, SLA и порядок раскрытия.
  3. Исследователь проверяет разрешенные цели и отправляет отчет: описание, шаги воспроизведения, PoC, реальный ущерб, затронутый актив и доказательства.
  4. Triage проверяет новизну, воспроизводимость, попадание в область проверки и реальный риск.
  5. Критичность оценивают по CVSS, внутренней классификации платформы и бизнес-контексту. Bugcrowd использует Vulnerability Rating Taxonomy (VRT). Многие программы опираются на CVSS.
  6. Дубликаты закрывают как duplicate, слабые находки помечают как not applicable или informative, валидные отчеты передают владельцам систем.
  7. Команда продукта или AppSec исправляет проблему, исследователь или triage-команда проводит ретест.
  8. После подтверждения компания платит bounty, начисляет баллы репутации и при необходимости согласует публичное раскрытие.

Эта логика близка к Coordinated Vulnerability Disclosure. NIST SP 800-216 объясняет, как выстроить прием, координацию, публикацию и обработку отчетов об уязвимостях. ISO/IEC 29147 задает стандартную модель раскрытия уязвимостей для поставщиков продуктов и сервисов. См. NIST SP 800-216 и ISO/IEC 29147:2018.

Роли

Роль Зона ответственности
Program owner Бюджет, правила, область проверки, SLA, решение спорных случаев
Security team / AppSec Triage, оценка критичности, воспроизведение, оценка риска, координация исправлений
Product / engineering owners Исправление, регрессионные тесты, релиз, разбор после инцидента
Legal / compliance Safe harbor, санкционные ограничения, NDA, privacy, экспортный контроль, налоги и KYC
Платформа / внешний оператор Портал, пул исследователей, triage, поиск дубликатов, выплаты, интеграции, метрики
Researchers Поиск уязвимостей по правилам программы, качественный PoC, ответственное раскрытие

Что делает платформа

Коммерческие платформы превращают "почту security@" в операционную систему:

  • форма приема отчета с обязательными полями;
  • каталог целей в области проверки;
  • статусы отчетов;
  • чат между компанией, triage и исследователем;
  • поиск дубликатов;
  • процесс оценки критичности;
  • кошелек для выплат;
  • репутация исследователей;
  • приглашения в закрытые программы;
  • интеграции с Jira/GitHub/GitLab/Slack/SIEM;
  • отчетность по SLA, времени triage, времени исправления, выплатам и критичности.

В HackerOne triage и validation занимают центральное место в bug bounty и VDP: triage превращает поток заявок в проверенные задачи для инженеров. Источник: HackerOne triage overview. В документации HackerOne отдельно описаны статусы отчетов: validated, pending review, remediated и duplicate: HackerOne report states.

VDP и bug bounty

VDP дает процесс приема и координации уязвимостей. Bug bounty добавляет денежный стимул и активнее привлекает исследователей. На практике зрелая последовательность такая:

  1. Сначала VDP: научиться принимать отчеты и исправлять.
  2. Потом private bounty: пригласить небольшую группу проверенных исследователей.
  3. Потом public bounty: расширить доступ, когда команда справляется с объемом и спорами.

Bugcrowd рекомендует начинать с малого: закрытой программы по приглашениям, а затем переходить к публичному формату, когда поток уязвимостей становится управляемым: глоссарий Bugcrowd по BBP. HackerOne поддерживает закрытые и публичные программы; публичный этап остается решением компании: HackerOne о закрытых и публичных программах.

Экономика

Затраты состоят из нескольких частей:

  • годовая или месячная стоимость платформы либо внешнего ведения;
  • бюджет выплат;
  • внутреннее время triage, разработки, юристов и владельца программы;
  • выплаты налогов/KYC/комиссий;
  • стоимость исправлений;
  • коммуникации, раскрытие, CVE или advisory, если применимо.

Награду считают по совокупности факторов: CVSS, простота эксплуатации, реальный ущерб, доступность поверхности атаки, качество отчета, цепочки уязвимостей, чувствительные данные, вероятность реальной эксплуатации и критичность для бизнеса. Поэтому один и тот же класс уязвимости может получить разные выплаты в разных продуктах одной компании.

Основные риски

Риск Как снижать
Поток слабых или AI-сгенерированных отчетов Закрытый запуск, пороги репутации исследователей, внешний triage, строгие шаблоны отчетов
Расплывчатая область проверки Таблица активов, исключения из области проверки, тестовые аккаунты, правила безопасного тестирования
Споры по дубликатам и критичности Публичная матрица выплат, понятные правила оценки критичности, процесс медиации
Утечки PII при тестировании Правила минимизации данных, запрет выгрузки данных, тестовые аккаунты, правило stop-and-report
Невозможность быстро чинить Владелец каждого актива, SLA на исправление, резерв в очереди разработки
Юридические риски для исследователей Safe harbor, DMCA waiver где применимо, явные границы разрешенного тестирования
Бюджетный шок Закрытый старт, лимиты выплат, правила паузы, минимальная планка качества

2. Что нужно, чтобы запустить собственную bug bounty программу

Минимум перед запуском

Перед запуском у компании должны быть:

Блок Требование
Инвентаризация активов Список доменов, API, мобильных приложений, облачных активов, репозиториев, оборудования и smart contracts
Владельцы Назначенный владелец исправления для каждого актива
Прием отчетов Единый канал приема отчетов: платформа, встроенная форма или security@
Triage Процесс воспроизведения, оценки критичности, дубликатов, ложных срабатываний и эскалации
Исправление Маршрут задачи, SLA, релизный процесс, ретест
Юридический блок Safe harbor, политика приватности, санкционные и экспортные правила, NDA для закрытых программ
Бюджет Бюджет выплат, стоимость платформы, резерв на критичные находки
Правила области проверки Цели в области проверки, исключения, ограничения на DoS, спам, социальную инженерию и физические атаки
Поддержка исследователей Тестовые аккаунты, API-ключи, песочница, тестовые данные, часы для связи
Метрики Время до первого ответа, время разбора отчетов, время исправления, доля валидных отчетов, динамика выплат

Рекомендуемый запуск по этапам

Этап Цель Проверка готовности
0. Внутренняя готовность Проверить процесс работы с уязвимостями на внутреннем потоке Внутренний исследование проходит путь от приема до исправления и ретеста
1. VDP Открыть безопасный канал для случайных находок Есть страница правил, safe harbor, SLA на первый ответ, маршрутизация к владельцам
2. Private bounty Проверить процесс с ограниченной группой 20-100 приглашенных исследователей, контролируемая область проверки, бюджет выплат
3. Закрытая или публичная программа с внешним ведением Масштабировать поток и снизить triage-нагрузку Платформа/провайдер обрабатывает шум, интеграции работают
4. Зрелая публичная программа Постоянная программа как часть AppSec Публичные правила, понятная матрица выплат, практика раскрытия, регулярные отчеты

В документации HackerOne для Response/VDP описана похожая поэтапная модель: настройка программы, закрытый контролируемый запуск и публичный запуск. Перед публичным запуском программа проходит закрытый этап и показывает стабильную скорость ответов. Источник: HackerOne Response Program Setup.

Документы, которые нужны

  1. Правила программы.
  2. Таблица области проверки.
  3. Таблица исключений из области проверки.
  4. Правила тестирования.
  5. Safe harbor и юридическое разрешение.
  6. Требования к качеству отчета.
  7. Матрица выплат.
  8. SLA по первому ответу, triage, выплате и исправлению.
  9. Политика раскрытия.
  10. Правила допуска исследователей и санкционные ограничения.
  11. Правила работы с персональными данными и вложениями.
  12. Внутренний порядок действий для критичных отчетов.

В правилах bounty-программ Microsoft отдельно указаны требования к отчету: контекст, описание ошибки, PoC и видео. Там же описан единый подход к выплате, когда заявка подходит сразу под несколько программ, и отказ от части потенциальных DMCA-претензий для действий в разрешенной области. Источник: Microsoft Bounty Guidelines.

Порядок действий для критичных находок

Для P1/P0 нужен отдельный путь:

Шаг SLA
Подтвердить получение отчета 24 часа или быстрее
Собрать общий канал для критичного случая 1-4 часа
Назначить владельца и ответственного за критичность 1 день
Воспроизвести и ограничить ущерб 1-3 дня
Снижение риска / срочное исправление По критичности, часто от 24 часов до 7 дней
Повторная проверка Сразу после исправления
Решение по выплате До публикации или сразу после подтверждения, если правила предусматривают выплату после разбора отчета
Раскрытие, advisory или CVE По согласованному сроку

Когда public bounty рано

Публичную bounty лучше отложить при таких признаках:

  • владельцы активов еще назначаются;
  • очередь security-исправлений уже перегружена;
  • бюджет на неожиданные критичные находки еще согласуется;
  • safe harbor еще проходит юридическое согласование;
  • продукт обрабатывает PII, а тестовая среда и тестовые аккаунты еще готовятся;
  • команда срывает SLA по ответам исследователям;
  • область проверки расплывчатая или состоит из сторонних активов.

3. Как выглядят программы крупных компаний

Компания Формат Особенности
Google / Google Cloud Собственные VRP через портал Google Google Cloud выделил отдельную Cloud VRP с максимальной наградой $101,010 и прямой связью исследователей с инженерами безопасности Google Cloud. Источник: анонс Google Cloud VRP.
Microsoft Набор программ по продуктам и общие правила MSRC У каждой программы своя область проверки, требования к участникам, диапазон выплат и правила отправки отчета. Общие требования включают PoC, описание ущерба и правила безопасного тестирования. Источники: Microsoft Bounty Programs и правила Microsoft.
Apple Apple Security Bounty Программа с категориями по поверхности атаки; Apple заявляла максимальную выплату свыше $5 млн с бонусами за сложные цепочки эксплойтов, Lockdown Mode и бета-версии ПО. Источники: Apple Security Bounty и блог Apple о развитии bounty.
Meta Собственная Meta Bug Bounty Покрывает Facebook, Messenger, Instagram, WhatsApp, Workplace, Meta Quest, Ray-Ban Stories, Meta AI и open source; на странице указана минимальная награда $500 и верхние категории вроде RCE в мобильных приложениях до $300k. Источник: Meta Bug Bounty.
GitHub Собственная GitHub Bug Bounty Публичная программа GitHub Security с наградами $30,000+ за критичные уязвимости; отдельная страница rewards показывает примеры по уровням критичности. Источники: GitHub Bug Bounty и GitHub rewards.
OpenAI Security bug bounty на Bugcrowd; отдельно Safety Bug Bounty Security bug bounty работает через Bugcrowd для приема отчетов и выплат. В 2026 OpenAI запустила Safety Bug Bounty для рисков misuse/safety, отдельно от классических прикладных уязвимостей. Источники: OpenAI Bug Bounty и OpenAI Safety Bug Bounty.
Tesla Product Security + Bugcrowd для выплат Tesla просит отправлять проблемы в автомобилях и продуктах напрямую на VulnerabilityReporting@tesla.com, а Bugcrowd использует для выплат. Источник: Tesla Product Security.
Atlassian Bug bounty на Bugcrowd с внешним ведением В FY23 Atlassian отчиталась о $251,883 выплат через bug bounty по продуктам в области проверки. Источник: Atlassian FY23 Bug Bounty Report.

Что видно из примеров

Крупные компании обычно делят программу по продуктам и категориям:

  • cloud отдельно от пользовательских продуктов;
  • устройства отдельно от web и мобильных приложений;
  • AI safety отдельно от классической AppSec-безопасности;
  • open source отдельно от SaaS;
  • безопасность автомобилей и продуктов отдельно от проблем web-аккаунтов.

У зрелых программ есть отдельные инструменты для исследователей: тестовые аккаунты, SSRF-валидаторы, отладочные инструменты, порталы для отчетов, PGP, графики раскрытия, события для исследователей и закрытые программы для отобранных участников.

4. Коробочные решения и провайдеры для запуска bug bounty

Ниже сравнительная таблица по рынку. White-label здесь означает возможность запустить форму приема отчетов или портал под своим брендом, доменом или внутри своего сайта. Private-label/customizable означает глубокую настройку программы на платформе провайдера.

Провайдер Основной тип Форматы Triage / managed Пул исследователей White-label / private-label Для кого подходит
HackerOne Bug bounty для крупных компаний, VDP, управление внешней поверхностью VDP, закрытые и публичные bounty, программы с внешним ведением Да, внешний triage; процесс и статусы отчетов Один из крупнейших глобальных пулов Встроенная форма на сайте клиента, настройка внешнего вида, закрытые программы Крупные компании, tech, SaaS, госсектор, зрелая AppSec-команда
Bugcrowd Bug bounty с внешним ведением, VDP, PTaaS, ASM VDP, закрытые и публичные bounty, разовые и постоянные программы Да, внешний triage, Crowdcontrol, VRT Большой глобальный пул Встроенная форма на сайте клиента; поля заранее заданы, обработка остается в Bugcrowd Крупные компании, регулируемые отрасли, automotive, SaaS
Intigriti Европейская bug bounty платформа Закрытые и публичные программы, bug bounty с внешним ведением Да, triage и внешнее ведение Европейский и глобальный пул Закрытые программы скрыты с публичной платформы; модель размещена у провайдера Компании из EU/UK, продукты с GDPR-требованиями, SaaS
YesWeHack Европейская платформа для наступательной проверки безопасности и bug bounty Публичные и закрытые bug bounty, процессы в стиле VDP Да, YesWeHack triage остается внутри платформы Европейский и глобальный пул Закрытые программы с ограниченным доступом и закрытыми правилами; модель размещена у провайдера Компании из EU, госсектор и enterprise, где важны конфиденциальность и EU-провайдер
Synack Проверка безопасности силами проверенных исследователей / PTaaS Закрытое тестирование проверенными исследователями, постоянная проверка Да, Synack управляет проверкой исследователей, triage и выплатами Проверенная Synack Red Team Строго контролируемая закрытая модель для крупных компаний Банки, госсектор, крупные компании с требованием проверенных исследователей
Cobalt PTaaS для управляемых pentest-проектов Pentest-программы, управление внутренними pentest-процессами Да, процесс pentest Проверенные pentest-специалисты PTaaS-платформа для pentest-процесса Когда нужен управляемый pentest через платформу
HackenProof Bug bounty и координация раскрытия уязвимостей, сильный Web3 уклон Публичные и закрытые bounty, bounty для smart contracts Ведение провайдером или своими силами; SLA на программах Сообщество Web2/Web3-исследователей Платформа на стороне провайдера Web3, crypto, smart contracts, компании, которые платят в криптовалюте
Immunefi Web3-платформа для bug bounty Публичные Web3 bounty, защита фондов, KYC, арбитраж Immunefi проводит triage на отдельных программах Web3-исследователи безопасности Платформа на стороне провайдера DeFi, bridges, protocols, wallets, Web3-инфраструктура
Cantina Web3-маркетплейс безопасности Bug bounty, соревнования, аудиты Управляемый маркетплейс Web3-исследователи Платформа на стороне провайдера Web3-компании, smart contracts
Code4rena Конкурсные аудиты и соревнования в формате bounty Конкурсные аудиты, соревнования, bounty Процесс оценки и отчетов Сообщество wardens Соревновательная модель на стороне провайдера Соревнования по аудиту smart contracts
Patchstack VDP/bug bounty для экосистемы WordPress VDP с внешним ведением для разработчиков плагинов и тем, Patchstack Alliance bounty Да, mVDP для разработчиков WordPress-исследователи безопасности Страницы разработчиков на Patchstack WordPress-плагины и темы, open source поставщики, готовность к CRA
BugBase Кураторский маркетплейс для этичных хакеров VDP, публичная и закрытая bug bounty, VAPT Закрытая программа включает внешний triage и аналитику Отобранные исследователи Платформа на стороне провайдера Стартапы и SMB, Индия и глобальный рынок, быстрый запуск
Federacy Доступная bug bounty / disclosure платформа Bug bounty и программы раскрытия уязвимостей Внешний triage, советы по исправлению, коммуникация с исследователями Пул для стартапов и небольших команд Платформа на стороне провайдера Стартапы, организации с социальной миссией, легкие программы с внешним ведением
SafeHats Bug bounty платформа от InstaSafe Bug bounty для крупных компаний Документация для крупных компаний и исследователей Управляется платформой Платформа на стороне провайдера Крупные компании в Индии и Азии, bug bounty с внешним ведением
Hackrate Платформа для этичного хакинга и bug bounty Bug bounty, проекты по этичному хакингу, HackGATE monitoring Управляемая платформа Пул с фокусом на CEE/EU Платформа на стороне провайдера EU/CEE, госсектор и проекты крупных компаний по этичному хакингу
Yogosha Bug bounty / CVD платформа Публичные и закрытые bug bounty, VDP Модель с внешним ведением и сообщество исследователей Yogosha Strike Force Платформа на стороне провайдера Французские и европейские крупные компании, контекст CVD/CRA
BugVault Платформа для bug bounty и VDP в крупных компаниях Private VDP / bug bounty, AI triage Заявлены экспертные аудиторы и AI triage Заявлены закрытые пулы исследователей Да, заявляет полный white-label: логотип, цвета, домен, отдельное развертывание Компании, которым нужен собственный брендированный портал; требуется проверка поставщика
HyperCrackers Сервисное ведение bug bounty Проектирование программы, запуск, triage, выплаты, раскрытие уязвимостей Да, сервисное ведение Может работать через ведущие платформы или напрямую Да, заявляет прямое white-label ведение для клиентов Когда нужен оператор под брендом клиента
IntegSec Triage для bug bounty и white-label pentest-услуги Управление bug bounty, triage-сервисы Да, triage и оценка критичности Работают с HackerOne, Bugcrowd, Synack, Intigriti и др. White-label сильнее относится к pentest/MSP; bug bounty закрыт через управление и triage MSP и enterprise-компании, которым нужен внешний triage

Источники по провайдерам

5. Какие решения предлагают white-label или максимально кастомизируемый private-label подход

Классификация по степени white-label

Уровень Решения Что дает white-label
Полный white-label, заявленный поставщиком BugVault Логотип, цвета, домен, бренд, отдельное развертывание, изолированная private-программа
White-label как управляемый сервис HyperCrackers, частично IntegSec Провайдер ведет программу и triage под брендом клиента как сервисный оператор
Брендированная форма приема HackerOne, Bugcrowd Форма отправки уязвимостей встраивается на сайт клиента; обработка остается на платформе
Private-label операционная модель HackerOne, Bugcrowd, Intigriti, YesWeHack, Synack, BugBase, HackenProof Закрытая программа по приглашениям, своя область проверки, свои правила, своя таблица выплат, внешний triage, отбор исследователей
Маркетплейс на стороне провайдера Immunefi, Cantina, Code4rena, Patchstack, Federacy, SafeHats, Hackrate, Yogosha Программа кастомизируется внутри бренда провайдера

Детали по подтвержденному white-label и встроенной форме

BugVault

BugVault позиционирует продукт как платформу bug bounty под брендом клиента и заявляет такие возможности:

  • полная настройка бренда;
  • логотип, цвета, домен;
  • отдельное развертывание;
  • закрытые пулы исследователей;
  • безопасность уровня крупной компании;
  • AI triage.

Вывод: это самое прямое найденное публичное заявление про полный white-label. Риск: по сравнению с HackerOne, Bugcrowd, Intigriti и YesWeHack у BugVault меньше публичных независимых доказательств зрелости и крупных клиентских референсов. Перед выбором нужна проверка: SOC 2/ISO, хранение данных, отчеты о pentest, клиентские референсы, SLA, юридическое лицо, выплаты и KYC, качество исследователей, порядок споров.

Источник: BugVault.

HackerOne

У HackerOne white-label-уровень сводится к встроенной форме отправки отчетов:

  • форму можно встроить на сайт компании;
  • исследователи отправляют отчеты с сайта клиента;
  • поддерживаются анонимные отправки;
  • настройки для крупных компаний позволяют подстроить внешний вид формы под сайт;
  • в закрытых программах встроенная форма снижает приватность: любой человек с доступом к форме или UUID сможет отправить отчет;
  • обработка программы, управление и дальнейшая переписка остаются в HackerOne.

Вывод: подходит для брендированной формы приема. Полный жизненный цикл остается в HackerOne.

Источник: документация HackerOne по встроенной форме.

Bugcrowd

Встроенная форма Bugcrowd работает так:

  • позволяет разместить форму на собственном сайте;
  • отчеты обрабатываются в Crowdcontrol;
  • отчет можно отправить до создания аккаунта Bugcrowd;
  • внешний вид можно кастомизировать;
  • поля формы заранее заданы, кроме отдельных опций вроде поля Target;
  • обработка остается в Bugcrowd.

Вывод: хорошая брендированная форма приема для VDP/BBP. Полный жизненный цикл остается в Bugcrowd.

Источник: документация Bugcrowd по встроенной форме.

HyperCrackers

HyperCrackers заявляет, что может работать через ведущие bug bounty платформы или вести программы напрямую для клиентов, которым нужен white-label под своим брендом. В описании сервиса указаны область проверки, правила тестирования, политика выплат, triage, координация исправлений, проверка, метрики и поддержка раскрытия.

Вывод: это white-label сервисный оператор для операционного слоя.

Источник: bug bounty сервисы HyperCrackers.

IntegSec

IntegSec позиционируется как провайдер сервисов наступательной безопасности с white-label pentest/PTaaS для MSP и отдельно предлагает управление bug bounty программами и разбор отчетов об уязвимостях. В FAQ указано, что команда работает с HackerOne, Bugcrowd, Synack, Intigriti, Wordfence и другими платформами.

Вывод: полезно как внешний слой triage и управления, особенно для MSP. White-label у IntegSec сильнее относится к pentesting, чем к полноценному bug bounty порталу.

Источник: управление bug bounty от IntegSec.

Практическая рекомендация по выбору

Сценарий Лучший тип решения
Нужно быстро и надежно запустить bug bounty для крупной компании HackerOne, Bugcrowd, Intigriti, YesWeHack
Нужно начать осторожно и приватно Закрытая программа на HackerOne, Bugcrowd, Intigriti, YesWeHack, BugBase или HackenProof
Нужна брендированная форма приема на своем сайте Встроенная форма HackerOne или Bugcrowd
Нужен полный портал под своим брендом BugVault или кастомная разработка плюс провайдер внешнего triage
Нужно скрытое операционное ведение под брендом клиента HyperCrackers или сервисное ведение в стиле IntegSec
Нужен Web3/smart contract bounty Immunefi, HackenProof, Cantina, Code4rena
Нужен VDP для WordPress-плагинов или тем Patchstack mVDP / Patchstack Alliance
Нужны только проверенные исследователи Synack или закрытые программы с фильтрами по репутации и KYC

Чеклист RFP для выбора white-label/private-label поставщика

При выборе провайдера стоит запросить:

Вопрос Почему важно
Можно ли использовать собственный домен? Показывает разницу между полным white-label и встроенной формой
Видит ли исследователь бренд платформы? Критично для private-label
Где хранятся отчеты и вложения? Персональные данные, секреты, комплаенс и требования к хранению данных
Как устроены KYC, налоги и санкционный скрининг? Выплаты исследователям и юридический риск
Кто принимает финальное решение по критичности и выплате? Управление спорами и бюджетом
Есть ли круглосуточный triage? Критичные отчеты требуют круглосуточной реакции
Как обрабатываются дубликаты? Одна из самых частых конфликтных зон
Есть ли политика медиации и споров? Защита репутации программы
Можно ли платить сразу после разбора отчета? Повышает доверие исследователей
Какие интеграции доступны? Jira/GitHub/GitLab/Slack/SIEM/SOAR
Есть ли API или выгрузка всех данных? План выхода и риск зависимости от поставщика
Есть ли SOC 2/ISO 27001/FedRAMP? Закупки в крупных компаниях
Какие есть публичные клиентские кейсы? Проверка зрелости и качества пула
Как фильтруются AI-сгенерированные отчеты? Растущий операционный риск 2025-2026
Можно ли настроить допуск исследователей? Закрытые программы, санкции, география, фильтры по навыкам

Рекомендуемая целевая модель для собственной программы

Если компания запускает программу с нуля и хочет сохранить контроль над брендом:

  1. Запустить VDP на собственном /security или /responsible-disclosure с safe harbor.
  2. Использовать встроенную форму отправки отчетов от HackerOne/Bugcrowd или полный white-label портал, если бренд принципиален.
  3. Первые 2-3 месяца вести закрытый контролируемый запуск с узкой областью проверки.
  4. Подключить внешний triage, если нет внутренней AppSec-команды, способной отвечать в SLA.
  5. Установить таблицу выплат для активов, где команда уверена в владельцах и правилах.
  6. Открывать публичный запуск после измерения доли валидных отчетов, доли дубликатов, времени triage и очереди исправлений.
  7. Через 6 месяцев расширить область проверки и добавить публичные активы, где уже есть владельцы и тестовые аккаунты.

Минимальная структура публичной страницы:

# Security vulnerability disclosure
                      
                      ## Scope
                      | Asset | Type | Eligibility | Notes |
                      
                      ## Out of scope
                      | Category | Reason |
                      
                      ## Rules
                      - No DoS/DDoS.
                      - No social engineering.
                      - No access to other users' data beyond minimal proof.
                      - Stop testing and report immediately if sensitive data is encountered.
                      
                      ## Safe harbor
                      Good-faith research within this policy is authorized.
                      
                      ## Report requirements
                      - Summary
                      - Affected asset
                      - Steps to reproduce
                      - Proof of concept
                      - Impact
                      - Suggested remediation, if known
                      
                      ## Rewards
                      | Severity | Range |
                      
                      ## SLA
                      | Event | Target |
                      
                      ## Disclosure
                      Do not disclose publicly until coordinated with us.

Итог

Рынок делится на четыре группы:

  1. Платформы для крупных компаний: HackerOne, Bugcrowd, Intigriti, YesWeHack, Synack. Их сильная зона: зрелые закрытые и публичные программы, внешний triage и встроенная форма приема отчетов.
  2. Вертикальные платформы: Immunefi, HackenProof, Cantina, Code4rena, Patchstack. Их сильная зона: Web3 или WordPress/OSS.
  3. Платформы для стартапов: BugBase, Federacy, SafeHats, Hackrate, Yogosha. Они могут быть дешевле или сильнее в отдельных регионах; зрелость пула и SLA нужно проверять отдельно.
  4. White-label и управляемые операторы: BugVault, HyperCrackers, IntegSec. В этой группе выше шанс получить white-label/private-label; проверка поставщика должна быть строже.

Для большинства компаний прагматичный путь такой: VDP с брендированной формой приема, затем закрытая bounty с внешним ведением, затем публичная bounty. Полный white-label имеет смысл, если бренд, хранение данных, MSP-перепродажа или регуляторные ограничения важнее доступа к максимальному пулу исследователей крупной платформы.