HackerOne, unha plataforma que permite aos investigadores de seguridade informar a empresas e desenvolvedores de software sobre a identificación de vulnerabilidades e recibir recompensas por facelo, anunciou que inclúe software de código aberto no ámbito do proxecto Internet Bug Bounty. Os pagos de recompensas agora pódense realizar non só para identificar vulnerabilidades en sistemas e servizos corporativos, senón tamén para informar de problemas nunha ampla gama de proxectos abertos desenvolvidos tanto por equipos como por desenvolvedores individuais.
Os primeiros proxectos de código aberto que comezaron a ofrecer pagos por vulnerabilidades atopadas inclúen Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django e Curl. A lista ampliarase no futuro. Para unha vulnerabilidade crítica, ofrécese un pago de $ 5000, para unha perigosa - $ 2500, para unha mediana - $ 1500 e para unha non perigosa - $ 300. A recompensa por unha vulnerabilidade atopada distribúese na seguinte proporción: 80% ao investigador que informou a vulnerabilidade, 20% ao mantedor do proxecto de código aberto que engadiu unha corrección para a vulnerabilidade.
Os fondos para financiar o novo programa acumúlanse nun fondo separado. Os principais patrocinadores da iniciativa foron Facebook, GitHub, Elastic, Figma, TikTok e Shopify, e os usuarios de HackerOne tiveron a oportunidade de achegar do 1% ao 10% dos fondos asignados ao pool.
Fonte: opennet.ru