Иногда сложно снаружи оценить влияние бага на бизнес В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной. Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу). Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием. Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.