HackerOne, una plataforma que permet als investigadors de seguretat informar les empreses i els desenvolupadors de programari sobre la identificació de vulnerabilitats i rebre recompenses per fer-ho, va anunciar que inclou programari de codi obert en l'àmbit del projecte Internet Bug Bounty. Ara es poden fer pagaments de recompenses no només per identificar vulnerabilitats en sistemes i serveis corporatius, sinó també per informar de problemes en una àmplia gamma de projectes oberts desenvolupats tant per equips com per desenvolupadors individuals.
Els primers projectes de codi obert que van començar a oferir pagaments per vulnerabilitats trobades inclouen Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django i Curl. La llista s'ampliarà en el futur. Per a una vulnerabilitat crítica, s'ofereix un pagament de 5000 dòlars, per a una de perilloses: 2500 dòlars, per a una de mitjana, 1500 dòlars, i per a una no perillosa, 300 dòlars. La recompensa per una vulnerabilitat trobada es distribueix en la següent proporció: 80% a l'investigador que va informar de la vulnerabilitat, 20% al responsable del projecte de codi obert que va afegir una correcció per a la vulnerabilitat.
Els fons per finançar el nou programa s'acumulen en un grup separat. Els principals patrocinadors de la iniciativa van ser Facebook, GitHub, Elastic, Figma, TikTok i Shopify, i els usuaris de HackerOne van tenir l'oportunitat d'aportar de l'1% al 10% dels fons assignats a la piscina.
Font: opennet.ru