HackerOne, eine Plattform, die es Sicherheitsforschern ermöglicht, Unternehmen und Softwareentwickler über die Identifizierung von Schwachstellen zu informieren und dafür Belohnungen zu erhalten, gab bekannt, dass sie Open-Source-Software in den Rahmen des Internet Bug Bounty-Projekts einbezieht. Belohnungen können jetzt nicht nur für die Identifizierung von Schwachstellen in Unternehmenssystemen und -diensten gezahlt werden, sondern auch für die Meldung von Problemen in einer Vielzahl offener Projekte, die sowohl von Teams als auch von einzelnen Entwicklern entwickelt werden.
Zu den ersten Open-Source-Projekten, die Zahlungen für gefundene Schwachstellen leisten, gehören Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django und Curl. Die Liste wird in Zukunft erweitert. Für eine kritische Schwachstelle wird eine Zahlung von 5000 US-Dollar geleistet, für eine gefährliche Schwachstelle 2500 US-Dollar, für eine mittlere Schwachstelle 1500 US-Dollar und für eine ungefährliche Schwachstelle 300 US-Dollar. Die Belohnung für eine gefundene Schwachstelle wird im folgenden Verhältnis verteilt: 80 % an den Forscher, der die Schwachstelle gemeldet hat, 20 % an den Betreuer des Open-Source-Projekts, der einen Fix für die Schwachstelle hinzugefügt hat.
Die Mittel zur Finanzierung des neuen Programms werden in einem separaten Pool gesammelt. Die Hauptsponsoren der Initiative waren Facebook, GitHub, Elastic, Figma, TikTok und Shopify, und HackerOne-Benutzer hatten die Möglichkeit, 1 % bis 10 % der zugewiesenen Mittel zum Pool beizutragen.
Source: opennet.ru