HackerOne، پلتفرمی که به محققان امنیتی اجازه میدهد تا شرکتها و توسعهدهندگان نرمافزار را در مورد شناسایی آسیبپذیریها آگاه کنند و برای انجام این کار پاداش دریافت کنند، اعلام کرد که نرمافزار منبع باز را در محدوده پروژه Internet Bug Bounty گنجانده است. اکنون میتوان پاداشها را نه تنها برای شناسایی آسیبپذیریها در سیستمها و سرویسهای شرکتی، بلکه برای گزارش مشکلات در طیف گستردهای از پروژههای باز که هم توسط تیمها و هم توسعهدهندگان منفرد ایجاد شدهاند، انجام داد.
اولین پروژه های منبع باز که شروع به پرداخت برای آسیب پذیری های یافت شده کردند، عبارتند از Nginx، Ruby، RubyGems، Electron، OpenSSL، Node.js، Django و Curl. این لیست در آینده گسترش خواهد یافت. برای آسیب پذیری بحرانی، پرداخت 5000 دلار، برای آسیب پذیری خطرناک - 2500 دلار، برای آسیب پذیری متوسط - 1500 دلار، و برای آسیب پذیری غیر خطرناک - 300 دلار ارائه می شود. پاداش برای یک آسیبپذیری یافت شده به نسبت زیر توزیع میشود: 80 درصد به محققی که آسیبپذیری را گزارش کرده است، 20 درصد به نگهدارنده پروژه منبع باز که اصلاحی برای آسیبپذیری اضافه کرده است.
بودجه برای تأمین مالی برنامه جدید در یک استخر جداگانه جمع می شود. حامیان اصلی این ابتکار فیسبوک، گیت هاب، الاستیک، Figma، TikTok و Shopify بودند و به کاربران HackerOne این فرصت داده شد تا از 1٪ تا 10٪ از بودجه اختصاص داده شده به استخر کمک کنند.
منبع: opennet.ru