Наброшу, но курсы от Offensive Security тоже не несут в себе особой ценности по крайней мере, в РФ. В первую очередь различные сертификаты подразумевают то, что на какую-то неплохую работу ты сможешь устроиться, только показав корочки. У нас таких работ просто нет, можно везде спокойно устроиться и без сертов вообще, если ты чего-то понимаешь в теме. Несмотря на это, курсы от Offensive Security прикольные, их интересно проходить и даже можно чему-то научиться. Остальное бы не рекомендовал брать, в том числе CEH.
Видимо вам везло с программами на х1) Из приведенных пунктов 2 и 3 было, и не по одному разу, разве что то, что вообще отвечать не будут действительно маловероятно. На самом деле вроде бы в РФ столько селф-хостед программ и нет, видел максимум десяток. В целом, можно найти нормальную частную программу с адекватной командой безопасности. Я бы меньше рассматривал СНГ только по причине того, что у СНГ компаний обычно денег сильно меньше.
К сожалению, все не совсем так просто, и случаи подобного кидалова на h1/bugcrowd от далеко не СНГшных компаний тоже нередки. В целом, по моим впечатлениям все скорее наоборот, у нас развивается эта культура потихоньку, все больше адекватных компаний открывают нормальные бб программы.
В любых больших госкорпорациях в любой стране ситуация будет примерно такая же (ну, может, немного лучше). Для подтверждения можете посмотреть какие феерические баги прилетают в ВДП минобороны США hackerone.com/deptofdefense?type=team. Конечно, здесь плюс, что у них вообще есть канал для получения сообщений об уязвимостях (денег, кстати не платят).
И проблема здесь именно в деньгах: у госов денег на технарей никогда не было, нет и скорее всего не будет. Действительно сильные спецы все работают в коммерции/независимо.
Хорошо знаком с ситуацией на упомянутой галере, для предотвращения подобного обычно помогают массовые увольнения. Если по большому счету все остаются и ничего не делают, это и воспринимается соответствующим образом: «прокатило, будем еще дольше фриз держать».
Так-то оно так, вот только зачем в таком случае ожидаются «жертвы личным временем ради решения задач команды»? Работа на результат предполагает соответствующую мотивацию.
И проблема здесь именно в деньгах: у госов денег на технарей никогда не было, нет и скорее всего не будет. Действительно сильные спецы все работают в коммерции/независимо.