HackerOne, una plataforma que permite a los investigadores de seguridad informar a las empresas y desarrolladores de software sobre la identificación de vulnerabilidades y recibir recompensas por hacerlo, anunció que incluirá software de código abierto en el alcance del proyecto Internet Bug Bounty. Ahora se pueden realizar pagos de recompensas no sólo por identificar vulnerabilidades en sistemas y servicios corporativos, sino también por informar problemas en una amplia gama de proyectos abiertos desarrollados tanto por equipos como por desarrolladores individuales.
Los primeros proyectos de código abierto que comenzaron a proporcionar pagos por las vulnerabilidades encontradas incluyen Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django y Curl. La lista se ampliará en el futuro. Para una vulnerabilidad crítica, se proporciona un pago de $5000, para una peligrosa - $2500, para una mediana - $1500 y para una no peligrosa - $300. La recompensa por una vulnerabilidad encontrada se distribuye en la siguiente proporción: 80% al investigador que informó la vulnerabilidad, 20% al mantenedor del proyecto de código abierto que agregó una solución para la vulnerabilidad.
Los fondos para financiar el nuevo programa se acumulan en un fondo común separado. Los principales patrocinadores de la iniciativa fueron Facebook, GitHub, Elastic, Figma, TikTok y Shopify, y los usuarios de HackerOne tuvieron la oportunidad de contribuir entre el 1% y el 10% de los fondos asignados al fondo común.
Fuente: opennet.ru