セキュリティ研究者が脆弱性の特定について企業やソフトウェア開発者に通知し、報酬を受け取ることを可能にするプラットフォームである HackerOne は、インターネット バグ報奨金プロジェクトの範囲にオープンソース ソフトウェアを含めることを発表しました。 企業システムやサービスの脆弱性を特定した場合だけでなく、チームや個人の開発者が開発した幅広いオープンプロジェクトの問題を報告した場合にも報酬の支払いが可能になりました。
見つかった脆弱性に対して支払いを開始した最初のオープンソース プロジェクトには、Nginx、Ruby、RubyGems、Electron、OpenSSL、Node.js、Django、Curl などがあります。 リストは将来的に拡大される予定です。 重大な脆弱性の場合は 5000 ドル、危険な脆弱性の場合は 2500 ドル、中程度の脆弱性の場合は 1500 ドル、危険ではない脆弱性の場合は 300 ドルが支払われます。 発見された脆弱性に対する報酬は、次の割合で分配されます: 脆弱性を報告した研究者に 80%、脆弱性の修正を追加したオープンソース プロジェクトのメンテナに 20%。
新しいプログラムに資金を提供するための資金は、別のプールに蓄積されます。 この取り組みの主なスポンサーは Facebook、GitHub、Elastic、Figma、TikTok、Shopify で、HackerOne ユーザーにはプールに割り当てられた資金の 1% から 10% を寄付する機会が与えられました。
出所: オープンネット.ru