Новости

Orion soft поделилась результатами участия в Standoff Bug Bounty

2025-08-11 15:07
Российская компания-разработчик корпоративного инфраструктурного ПО Orion soft подвела первые итоги участия в багбаунти-программе на платформе Standoff Bug Bounty. В ходе тестирования были обнаружены и устранены несколько некритических уязвимостей в системе виртуализации zVirt, что позволило повысить её защищённость и продемонстрировать приверженность компании вопросам кибербезопасности и проактивной защите от потенциальных угроз.

Программа закрытого тестирования безопасности zVirt стартовала в ноябре 2024 года, и теперь Orion soft приняла решение о продлении своего участия. Основное внимание в ходе программы уделялось поиску уязвимостей, способных привести к повышению привилегий до уровня root, компрометации конфиденциальных данных, нарушению целостности и доступности виртуальных машин.

Система zVirt с русскоязычным интерфейсом объединяет управление кластерами, хранилищами, виртуальными машинами и серверами виртуализации в единой консоли. На сегодняшний день инсталляционная база zVirt насчитывает более 13 600 хостов по всей России, а число заказчиков превышает 430 организаций. Продукт включён в реестр российского ПО и занимает лидирующие позиции среди решений по импортозамещению в сфере виртуализации.

За время участия в Standoff Bug Bounty компания получила 24 отчета от исследователей, из которых 14 уже находятся в проработке. Каждый отчет содержал технические детали уязвимости, затронутые версии и компоненты, PoC-эксплойт, сценарии возможных атак и рекомендации по устранению уязвимостей.

По словам Александра Гавриленко, руководителя направления технологических партнёрств Orion soft:
«Защищенность — важнейший критерий зрелости ПО для виртуализации и одно из ключевых направлений развития zVirt. Мы вышли на Standoff Bug Bounty, чтобы повысить уровень безопасности продукта за счет обнаружения и исправления потенциальных уязвимостей, а также повысить уровень безопасности разработки. С ноября 2024 года белые хакеры обнаружили 10 уязвимостей. Среди них не было ни одной критической, и только две — высокого уровня. Мы уже исправили наиболее значимые уязвимости, в том числе в свежем релизе zVirt 4.4, и продолжаем закрывать оставшиеся. Использование нашего продукта стало еще безопаснее».
Платформа Standoff Bug Bounty, запущенная в мае 2022 года, объединила более 27 тысяч специалистов по кибербезопасности. За последние полтора года количество «белых хакеров» на платформе увеличилось втрое, а число отправленных отчетов — более чем впятеро. Всего было запущено свыше 200 программ, а общий объём вознаграждений за три года превысил 274 миллиона рублей.