Querido Diario…
Nunca he estado feliz con ser un bug bounty hunter… y si bien, el modelo ha traído muchos beneficios; creo que también ha traído muchos ¿des-beneficios?.
Un bug bounty hunter no es un profesional en Seguridad Informática, ni un pentester… y los bug bounties no deben de sustituir los SDLC y otros proyectos de evaluación. Tampoco encontrar un XSS te hace un experto en seguridad.
A ese tal Amit le debería alguien decir que no sólo las empresas contratan empleados para eso, sino que además contratan empresas completas para ese tipo de actividades y que por si fuese poco; las empresas que fondean los bug bounties, también destinan presupuesto para contratar a Bugcrowd… y no, como dijese Charly Miller “no more free bugs”.
Querido Diario… el sábado tengo que ir a cierto sitio; y ayer antes de dormir pedí un deseo.
Ojalá… ojalá…
