Fragen? Antworten! Siehe auch: Alternativlos
Ja, lieber Leser. Völlig richtig. Google feiert da, dass ihre Software immer beschissener wird.
Und wie üblich liegt das an Metriken. Sie vergleichen hier die Kosten für das Finden der Lücken durch Crowdsourcing mit den Kosten für das Finden der Lücken durch professionelle Security-Leute.
Sie sollten es vergleichen mit den Kosten dafür, Lücken im Vorfeld durch ordentliches Software Engineering zu vermeiden. Aber das macht natürlich niemand.
Wieso ist es denn billiger, Lücken durch Bug Bounty zu finden als durch professionelle Security-Leute? Weil Bug Bounty das Risiko verschiebt. Wenn du zehn Firmen engagierst für einen Audit, und 3 finden nichts, dann musst du die ja trotzdem bezahlen. Bei Bug Bounty nicht.
Im Gegenzug kriegst du bei Bug Bountry vor allem automatisiert findbare Billig-Lücken wie XSS, für die du eigentlich keine Ausrede hast, die nicht vorher selber gefunden zu haben.