HackerOne, sebuah platform yang memungkinkan peneliti keamanan untuk memberi tahu perusahaan dan pengembang perangkat lunak tentang mengidentifikasi kerentanan dan menerima imbalan untuk melakukannya, mengumumkan bahwa mereka memasukkan perangkat lunak sumber terbuka dalam lingkup proyek Internet Bug Bounty. Pembayaran imbalan kini dapat dilakukan tidak hanya untuk mengidentifikasi kerentanan dalam sistem dan layanan perusahaan, namun untuk melaporkan masalah dalam berbagai proyek terbuka yang dikembangkan oleh tim dan pengembang individu.
Proyek sumber terbuka pertama yang mulai menyediakan pembayaran untuk kerentanan yang ditemukan termasuk Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django dan Curl. Daftar ini akan diperluas di masa depan. Untuk kerentanan kritis, pembayaran sebesar $5000 diberikan, untuk kerentanan berbahaya - $2500, untuk kerentanan sedang - $1500, dan untuk kerentanan tidak berbahaya - $300. Hadiah untuk kerentanan yang ditemukan didistribusikan dalam proporsi berikut: 80% kepada peneliti yang melaporkan kerentanan, 20% kepada pengelola proyek sumber terbuka yang menambahkan perbaikan untuk kerentanan tersebut.
Dana untuk membiayai program baru diakumulasikan dalam kelompok terpisah. Sponsor utama dari inisiatif ini adalah Facebook, GitHub, Elastic, Figma, TikTok dan Shopify, dan pengguna HackerOne diberi kesempatan untuk berkontribusi dari 1% hingga 10% dari dana yang dialokasikan ke kumpulan tersebut.
Sumber: opennet.ru