| 9 сентября 2021 г. — 9:17 PT
В 2019 году Apple объявила о значительном расширении своей программы вознаграждений за ошибки, предложив исследователям более высокие выплаты, поддержку Mac, выделенные устройства для разработчиков и многое другое. Два года спустя Apple называет обновленную программу вознаграждений за ошибки «огромным успехом», в то время как отчет Washington Post утверждает, что исследователи безопасности «сыты по горло» программой.
В отчете приводится примечательная история Тянь Чжана, инженера-программиста iOS, который утверждает, что отправил Apple несколько ошибок и так и не получил оплаты. Фактически, Чжан говорит, что его исключили из программы Apple Developer Program:
Тянь Чжан, инженер-программист iOS, впервые сообщил об ошибке Apple в 2017 году. После нескольких месяцев ожидания исправления ошибки Apple Чжан потерял терпение и решил написать в своем блоге об своем открытии. Во второй раз, когда он сообщил об уязвимости безопасности, он говорит, что Apple исправила ее, но проигнорировала его. В июле Чжан представил Apple еще одну ошибку, которая, по его словам, подлежала вознаграждению. Программное обеспечение было быстро исправлено, но Чжан не получил вознаграждения. Вместо этого его исключили из программы Apple Developer Program. Членство в программе требуется для возможности отправки приложений в App Store. Apple не прокомментировала заявления Чжана.
В отчете Washington Post цитируется ряд подобных историй, в том числе от исследователей, которые говорят, что Apple слишком долго обрабатывает выплаты, и что конкуренты, такие как Facebook и Microsoft, имеют лучшие программы вознаграждений за ошибки. Google (6,7 млн долларов в 2020 году) и Microsoft (13,6 млн долларов) также заплатили больше, чем Apple (3,7 млн долларов).
В отчете также указывается, что у Apple «огромный список неисправленных ошибок», ссылаясь на анонимные источники:
Однако суммы выплат — не единственный фактор успеха. Лучшие программы поддерживают открытый диалог между хакерами и компанией. Apple, уже известная своей скрытностью, ограничивает общение и обратную связь относительно того, почему она решает платить или не платить за ошибку, согласно исследователям безопасности, которые отправляли ошибки в программу вознаграждений, и бывшему сотруднику, говорившему на условиях анонимности из-за соглашения о неразглашении.
По словам бывшего сотрудника и действующего сотрудника, которые также говорили на условиях анонимности из-за соглашения о неразглашении, Apple также имеет огромный объем неисправленных ошибок.
В своем заявлении Иван Крстич, руководитель отдела безопасности и архитектуры Apple, заявил, что программа вознаграждений за ошибки оказалась «огромным успехом», и что Apple усердно работает над «масштабированием программы».
«Программа Apple Security Bounty стала огромным успехом», — заявил в электронном письме Иван Крстич, руководитель отдела безопасности и архитектуры Apple. Он добавил, что Apple почти удвоила сумму, выплаченную в качестве вознаграждений за ошибки в этом году по сравнению с прошлым, и лидирует в отрасли по средней сумме, выплачиваемой за одно вознаграждение.
«Мы усердно работаем над масштабированием программы в условиях ее стремительного роста, и мы продолжим предлагать лучшие вознаграждения исследователям безопасности, работающим с нами бок о бок для защиты наших пользователей и их данных на более чем миллиарде устройств Apple по всему миру», — добавил он.
Одна из деталей сегодняшнего отчета заключается в том, что Apple, по-видимому, наняла «нового руководителя своей программы вознаграждений за ошибки» в этом году с «целью ее реформирования». Этот человек, как сообщается, работает под руководством Крстича, но Apple не предоставила дальнейших подробностей.
Полный отчет на Washington Post стоит того, чтобы его прочитать, и его можно найти здесь.