Проект Node.js меняет программу вознаграждений за найденные ошибки после того, как разработчики столкнулись с потоком отчетов, созданных с помощью искусственного интеллекта, которые трудно оценить.
Теперь для отправки отчетов об уязвимостях HackerOne в проект Node.js требуется показатель Signal 1.0 или выше.
Команда безопасности Node.js столкнулась со значительным ростом числа низкокачественных отчетов. Эта тенденция усиливалась на протяжении последних лет, а во время праздников поток превысил наши физические возможности. С 15 декабря по 15 января мы получили более 30 отчетов. Их обработка отнимает время и силы, которые могли бы быть направлены на реальную работу по обеспечению безопасности.
Требование минимального балла Signal гарантирует, что у репортеров есть подтвержденный опыт подачи валидных отчетов, при этом новые исследователи всё ещё могут участвовать с ограниченным числом заявок.
Signal — это метрика репутации в HackerOne, которая отражает качество прошлых отчетов исследователя. Высокий Signal указывает на историю валидных и значимых находок. Это требование помогает расставлять приоритеты в пользу отчетов от экспертов с доказанным опытом и снижает нагрузку по разбору некорректных заявок.
Источник: linux.org.ru
