ну вот опять начинается...
вот что вы за народ такой, с умными щами кричать "мы все умрем, дайте мне денег" на всех углах, это запросто
а как "подтвердите уязвимость", так сразу начинаете издеваться....

при этом на конференциях тоже "мы нашли уязвимость.... она вот тут, работает приемерно так, но мы вам деталей больше не расскажем. вендор нам заплатил" или наоборот "вот уязвимость вот CVE, деталей нет, есть какой то неработающий PoC, который ни у кого не воспроизводится, аааа severity 9.0"

вот просто интересно, как такие вещи вендорам отправляют?
вот hackerone тот же самый, люди отправляют там XSS какой нибудь, а есть возможность его эксплуатировать или нет, должен уже ИБшник на стороне баунти программы определять? и как он определяет? тупо делает точно такой же запросец и делает тикет разрабам "исправьте тут XSS"?

Ночные дежурства это частая практика девопс?

Скорее on-call

А что такое on call?

умение проснуться в 4 утра от алерта, наверное)

только не говори, что не знаешь как это "не работает"))

Скорее SRE - https://landing.google.com/sre/sre-book/chapters/being-on-call/

В географически распределял компаниях отдельных команды покрывают определяется часовые пояса

Алерты точно не работают, третий звонок подряд обычно срабатывает

Я так понимаю что on call с ротацией  это обязательная практика