Здоровых нет, есть недообследованные (с)

Необходимо железобетонную архитектуру выстраивать. Общими словами не подключать интернет.
Изолировать и можно будет использовать хоть Windows XP.

С чего в друг? Лицензиат/разработчик сейчас должен иметь внутренний цикл безопасной разработки, плюс платить за исследования лаборатории за поиск уязвимостей в рамках сертификации. В рамках сертификации много разных методов поиска уязвимостей нужно применять, и полигон не все их сможет обеспечить!

По опыту я вижу, что к этому формату больше готовы зрелые компании типа того же тинькофф: аудит на 5-10 млн уже не приносит результата, выкидывать такие суммы, чтобы тебе сказали "молодец, бро" такое себе

Так сейчас все равно все этапы проходят, "Лицензиат/разработчик сейчас должен иметь внутренний цикл безопасной разработки, плюс платить за исследования лаборатории за поиск уязвимостей в рамках сертификации", что плохого что ПО и железо будет в некой инфре на единой площадке полигона допустим государственного, и там все искатели могут тыкать железяки, что принесет опыт исследований и устранения  в ПО и железе дыр. "В рамках сертификации много разных методов поиска уязвимостей нужно применять, и полигон не все их сможет обеспечить!"Мое предложение запустить эти процессы, как бы параллельно,  правильно коллеги сказали нет здоровых, есть не дообследованные )

Как выше написали, это вопрос зрелости. Сейчас рынок даже до внутреннего контроля не дозрел :)

Вендоры часто опасаются как минимум утечек: где гарантия, что poc не улетит в даркнет. Я уж не говорю про финансовое обременение, все же это доп нагрузка, сертификаты фстэк никто не отменял

А ВВ на полигоне заменяет сертификационные испытания? Или это плюс к ним?

Отличный вопрос!) 👍

Это возможность к ним заранее подготовиться😂

Бб в нормативно-правовой отсутствует, поэтому плюс. Другой вопрос, что качество и методика испытаний для получения сертифтката и в рамках бб ортогонально иная

Это наверное + к тому чтобы не платить каждый год за аудит своего кода и не подготавливать свой стенд, а если все будет на гос площадке то больше доверия, как у вендора так и проверяющих. Мне кажется легче платить исследователям за найденные баги чем большой компании где работают те же исследователи ) которые и будут туда втыкать

Доверие к госплощадке? Ну, камон

а добавления дополнительного звена им значит не следует опасаться?

Вы должны четко понимать: вендоров никто не загоняет, регулирование направления отсутствует, вендора сами приходят, так как потребность есть. При этом психотравмы остались, как их лечить - другой вопрос

Вот в чем суть? Зачем это было нужно если вендора получили кучу багов в протоколах которые уже 30 л работают? Да потому что так проще исследователям, брать определенный пул и изучать его и всем от этого тока +

Завершились 18-месячные исследования в рамках инициированного компанией Forescout проекта Project Memoria, по результатам которого обнаружено в общей сложности 97 уязвимостей в 14 стеках TCP/IP, в том числе уязвимости, которые можно использовать для удаленного выполнения кода, DoS-атак или для получения конфиденциальной информации.

Изучено 15 стеков, включая CycloneTCP, FNET, FreeBSD, IPnet, lwIP, MPLAB Net, NetX, NicheStack, NDKTCPIP, Nucleus NET, Nut/Net, picoTCP, Treck, uC/TCP-IP и uIP. Только в одном из них, lwIP, исследователи не обнаружили дыр.

Выявленные недостатки затрагивают сотни продуктов, более чем 3 миллиардах устройств и условно получили наименования: Ripple20, AMNESIA:33, NUMBER:JACK, NAME:WRECK, INFRA:HALT и NUCLEUS:13. Анализ четверти миллиона устройств с уязвимостями Project Memoria, показал, что наибольшее количество уязвимых систем эксплуатируется в госсекторе и здравоохранении, далее следует промышленность, торговля и финансовый сектор.

Наиболее распространенные типы уязвимых устройств: принтеры, продукты VoIP, промышленные контроллеры, системы хранения и сетевые устройства, а в здравоохранении часто возникают проблемы с инфузионными насосами и системами автоматизации управления зданиями.

Но главный итог исследования заключался не в обнаружении баг, которые всегда были и будут. Некоторые из изученных стеков TCP/IP существуют уже почти 30 лет и все еще активно развиваются.

Большая проблема кроется в том, что, согласно данным Forescout, уязвимости касаются 422 поставщиков, из них 81 - выпустил предупреждения, 36 подтвердили наличие дыр, а 10 заявили, что не будут предоставлять исправления. Таким образом, только 19% потенциально заинтересованных поставщиков хотя бы как-то отреагировали и лишь 5,5% фактически устранили уязвимости.

При этом разработчики хоть и выпускают исправления для уязвимостей, зачастую они не попадают на устройства конечных пользователей, во многом из-за того, что исследователи прибегают к «тихим исправлениям» (без присвоения CVE), в результате чего поставщики устройств и их клиенты даже не знают о недостатках. А если и узнают, то предпочитают о них вовсе замалчивать, оставляя миллионы устройств уязвимыми в течение долгого времени.

Главный и неутешительный итог Project Memoria.

Это как раз критерии достижения результата и орбитражем третьей стороной решается : если отчетов много и все они "ни о чем", уязвимости классифицируются как "фактор, на который невозможно повлиять в рамках security by design", решается вопрос оргов с вендором

В этом суть организаторов бб: модерация, чтобы вендор не захлебнулся в подобном

Про багхантеров и их интересы все забыли