A HackerOne, egy platform, amely lehetővé teszi a biztonsági kutatóknak, hogy tájékoztassák a vállalatokat és a szoftverfejlesztőket a sebezhetőségek azonosításáról, és ezért jutalmat kapjanak, bejelentette, hogy a nyílt forráskódú szoftvereket is bevonja az Internet Bug Bounty projektbe. A jutalmak most már nemcsak a vállalati rendszerek és szolgáltatások sebezhetőségeinek azonosításáért fizethetők, hanem a csapatok és egyéni fejlesztők által kifejlesztett számos nyitott projektben felmerülő problémák bejelentéséért is.
Az első nyílt forráskódú projektek, amelyek elkezdtek fizetni a talált sebezhetőségekért: Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django és Curl. A lista a jövőben bővülni fog. Kritikus sérülékenységért 5000 dollár, veszélyesért 2500 dollár, közepesért 1500 dollárért, nem veszélyesért 300 dollár fizetendő. A talált sebezhetőség jutalma a következő arányban kerül felosztásra: 80% a sérülékenységet bejelentő kutató, 20% a nyílt forráskódú projekt karbantartója, aki javította a sérülékenységet.
Az új program finanszírozására szolgáló pénzeszközök külön gyűjteményben halmozódnak fel. A kezdeményezés fő támogatói a Facebook, a GitHub, az Elastic, a Figma, a TikTok és a Shopify voltak, a HackerOne felhasználók pedig lehetőséget kaptak arra, hogy a kiutalt forrás 1-10%-ával hozzájáruljanak a poolhoz.
Forrás: opennet.ru