HackerOne, alusta, jonka avulla tietoturvatutkijat voivat tiedottaa yrityksille ja ohjelmistokehittäjille haavoittuvuuksien tunnistamisesta ja saada siitä palkintoja, ilmoitti sisällyttävänsä avoimen lähdekoodin ohjelmistot Internet Bug Bounty -projektin piiriin. Palkkiot voidaan nyt maksaa paitsi yritysten järjestelmien ja palveluiden haavoittuvuuksien tunnistamisesta, myös ongelmista ilmoittamisesta monissa avoimissa projekteissa, joita ovat kehittäneet sekä tiimit että yksittäiset kehittäjät.
Ensimmäiset avoimen lähdekoodin projektit, jotka alkavat tarjota maksuja löydetyistä haavoittuvuuksista, ovat Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django ja Curl. Listaa laajennetaan jatkossa. Kriittisestä haavoittuvuudesta maksetaan 5000 dollaria, vaarallisesta - 2500 dollaria, keskitasosta - 1500 dollaria ja vaarattomasta - 300 dollaria. Palkkio löydetystä haavoittuvuudesta jaetaan seuraavassa suhteessa: 80 % haavoittuvuuden raportoineelle tutkijalle, 20 % haavoittuvuuteen korjauksen lisänneelle avoimen lähdekoodin projektin ylläpitäjälle.
Uuden ohjelman rahoittamiseen tarvittavat varat kerätään erilliseen pooliin. Aloitteen pääsponsorit olivat Facebook, GitHub, Elastic, Figma, TikTok ja Shopify, ja HackerOne-käyttäjille annettiin mahdollisuus lahjoittaa pooliin 1–10 % jaetuista varoista.
Lähde: opennet.ru