HackerOne, platforma, která umožňuje bezpečnostním výzkumníkům informovat společnosti a vývojáře softwaru o identifikaci zranitelnosti a získávat za to odměny, oznámila, že zahrnuje open source software do rozsahu projektu Internet Bug Bounty. Odměny lze nyní vyplácet nejen za identifikaci zranitelností v podnikových systémech a službách, ale také za hlášení problémů v široké škále otevřených projektů vyvinutých jak týmy, tak jednotlivými vývojáři.
Mezi první open source projekty, které začaly poskytovat platby za nalezená zranitelnost, patří Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django a Curl. Seznam bude v budoucnu rozšířen. Za kritickou zranitelnost je poskytována platba 5000 2500 USD, za nebezpečnou - 1500 300 USD, za střední - 80 20 USD a za nebezpečnou - XNUMX USD. Odměna za nalezenou zranitelnost je rozdělena v následujícím poměru: XNUMX % výzkumníkovi, který zranitelnost nahlásil, XNUMX % správci projektu s otevřeným zdrojovým kódem, který přidal opravu zranitelnosti.
Prostředky na financování nového programu jsou akumulovány v samostatném fondu. Hlavními sponzory iniciativy byly Facebook, GitHub, Elastic, Figma, TikTok a Shopify a uživatelé HackerOne dostali možnost přispět do fondu od 1 % do 10 % z přidělených prostředků.
Zdroj: opennet.ru