HackerOne, platforma koja omogućava istraživačima sigurnosti da informišu kompanije i programere softvera o identifikovanju ranjivosti i primaju nagrade za to, objavila je da uključuje softver otvorenog koda u okviru projekta Internet Bug Bounty. Isplate nagrada sada se mogu vršiti ne samo za identifikaciju ranjivosti u korporativnim sistemima i uslugama, već i za prijavljivanje problema u širokom spektru otvorenih projekata koje su razvili i timovi i individualni programeri.
Prvi projekti otvorenog koda koji su počeli pružati plaćanja za pronađene ranjivosti uključuju Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django i Curl. Lista će se u budućnosti proširivati. Za kritičnu ranjivost predviđena je isplata od 5000 dolara, za opasnu - 2500 dolara, za srednju - 1500 dolara, a za neopasnu - 300 dolara. Nagrada za pronađenu ranjivost se raspoređuje u sljedećem omjeru: 80% istraživaču koji je prijavio ranjivost, 20% održavaocu projekta otvorenog koda koji je dodao ispravku za ranjivost.
Sredstva za finansiranje novog programa akumuliraju se u posebnom fondu. Glavni sponzori inicijative bili su Facebook, GitHub, Elastic, Figma, TikTok i Shopify, a korisnici HackerOne-a dobili su priliku da daju od 1% do 10% dodijeljenih sredstava u pool.
izvor: opennet.ru