HackerOne, una piattaforma che consente ai ricercatori di sicurezza di informare aziende e sviluppatori di software sull'identificazione delle vulnerabilità e ricevere ricompense per farlo, ha annunciato che includerà software open source nell'ambito del progetto Internet Bug Bounty. Ora è possibile effettuare pagamenti di ricompense non solo per identificare le vulnerabilità nei sistemi e nei servizi aziendali, ma per segnalare problemi in un'ampia gamma di progetti aperti sviluppati sia da team che da singoli sviluppatori.
I primi progetti open source che iniziano a fornire pagamenti per le vulnerabilità rilevate includono Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django e Curl. L'elenco verrà ampliato in futuro. Per una vulnerabilità critica è previsto un pagamento di 5000 dollari, per una pericolosa - 2500 dollari, per una media - 1500 dollari e per una non pericolosa - 300 dollari. La ricompensa per una vulnerabilità rilevata viene distribuita nella seguente proporzione: 80% al ricercatore che ha segnalato la vulnerabilità, 20% al manutentore del progetto open source che ha aggiunto una correzione alla vulnerabilità.
I fondi per finanziare il nuovo programma vengono accumulati in un pool separato. Gli sponsor principali dell'iniziativa sono stati Facebook, GitHub, Elastic, Figma, TikTok e Shopify, e agli utenti di HackerOne è stata data la possibilità di contribuire dall'1% al 10% dei fondi stanziati nel pool.
Fonte: opennet.ru