HackerOne, en platform, der giver sikkerhedsforskere mulighed for at informere virksomheder og softwareudviklere om at identificere sårbarheder og modtage belønninger for at gøre det, annoncerede, at den inkluderer open source-software i Internet Bug Bounty-projektet. Udbetalinger af belønninger kan nu ikke kun ske for at identificere sårbarheder i virksomhedens systemer og tjenester, men for at rapportere problemer i en lang række åbne projekter udviklet af både teams og individuelle udviklere.
De første open source-projekter, der begyndte at levere betalinger for fundne sårbarheder, omfatter Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django og Curl. Listen vil blive udvidet i fremtiden. For en kritisk sårbarhed ydes en betaling på $5000, for en farlig - $2500, for en medium - $1500 og for en ikke-farlig - $300. Belønningen for en fundet sårbarhed fordeles i følgende forhold: 80 % til forskeren, der rapporterede sårbarheden, 20 % til vedligeholderen af open source-projektet, som tilføjede en rettelse til sårbarheden.
Midler til finansiering af det nye program samles i en separat pulje. Hovedsponsorerne for initiativet var Facebook, GitHub, Elastic, Figma, TikTok og Shopify, og HackerOne-brugere fik mulighed for at bidrage fra 1 % til 10 % af de tildelte midler til puljen.
Kilde: opennet.ru