Die HackerOne-Plattform ermöglicht es Sicherheitsexperten, Unternehmen und Softwareentwickler über gefundene Sicherheitslücken zu informieren und dafür Belohnungen zu erhalten. Sie hat die Einbeziehung von Open-Source-Software in den Rahmen des Internet Bug Bounty-Projekts angekündigt. Belohnungen können nun nicht nur für das Finden von Schwachstellen in Unternehmenssystemen und -diensten gezahlt werden, sondern auch für die Meldung von Problemen in einer Vielzahl von Open-Source-Projekten, die sowohl von Teams als auch von einzelnen Entwicklern betrieben werden.
Zu den ersten Open-Source-Projekten, für die Belohnungen für entdeckte Sicherheitsanfälligkeiten vergeben werden, gehören Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django und Curl. Die Liste wird in Zukunft erweitert. Für eine kritische Schwachstelle wird eine Belohnung von 5000 $ gewährt, für eine gefährliche 2500 $, für eine mittlere 1500 $ und für eine unkritische 300 $. Die Prämie für die gefundene Schwachstelle wird im Verhältnis verteilt: 80 % an den Forscher, der die Schwachstelle gemeldet hat, und 20 % an den Betreuer des Open-Source-Projekts, der die Schwachstelle behoben hat.
Die Mittel zur Finanzierung des neuen Programms werden in einem separaten Pool gesammelt. Die Hauptsponsoren der Initiative sind die Unternehmen Facebook, GitHub, Elastic, Figma, TikTok und Shopify. Nutzer von HackerOne haben die Möglichkeit, zwischen 1% und 10% der bereitgestellten Mittel in den Pool zu überweisen.
Quelle: opennet.ru
