HackerOne, une plateforme qui permet aux chercheurs en sécurité d'informer les entreprises et les développeurs de logiciels sur l'identification des vulnérabilités et de recevoir des récompenses pour cela, a annoncé qu'elle incluait les logiciels open source dans le cadre du projet Internet Bug Bounty. Des récompenses peuvent désormais être versées non seulement pour identifier les vulnérabilités des systèmes et services de l'entreprise, mais aussi pour signaler des problèmes dans un large éventail de projets ouverts développés à la fois par des équipes et des développeurs individuels.
Les premiers projets open source à commencer à fournir des paiements pour les vulnérabilités trouvées incluent Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django et Curl. La liste sera élargie à l'avenir. Pour une vulnérabilité critique, un paiement de 5000 2500 $ est prévu, pour une vulnérabilité dangereuse - 1500 300 $, pour une vulnérabilité moyenne - 80 20 $ et pour une vulnérabilité non dangereuse - XNUMX $. La récompense pour une vulnérabilité trouvée est distribuée dans la proportion suivante : XNUMX % au chercheur qui a signalé la vulnérabilité, XNUMX % au mainteneur du projet open source qui a ajouté un correctif pour la vulnérabilité.
Les fonds destinés à financer le nouveau programme sont accumulés dans un pool distinct. Les principaux sponsors de l'initiative étaient Facebook, GitHub, Elastic, Figma, TikTok et Shopify, et les utilisateurs de HackerOne ont eu la possibilité de contribuer à hauteur de 1 à 10 % des fonds alloués au pool.
Source: opennet.ru