HackerOne, een platform waarmee beveiligingsonderzoekers bedrijven en softwareontwikkelaars kunnen informeren over het identificeren van kwetsbaarheden en daarvoor beloningen kunnen ontvangen, heeft aangekondigd dat het open source software opneemt in de reikwijdte van het Internet Bug Bounty-project. Er kunnen nu niet alleen beloningen worden betaald voor het identificeren van kwetsbaarheden in bedrijfssystemen en -diensten, maar ook voor het melden van problemen in een breed scala aan open projecten die zijn ontwikkeld door zowel teams als individuele ontwikkelaars.
De eerste open source-projecten die betalingen voor gevonden kwetsbaarheden gaan aanbieden, zijn onder meer Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django en Curl. De lijst zal in de toekomst worden uitgebreid. Voor een kritieke kwetsbaarheid wordt een betaling van $5000 verstrekt, voor een gevaarlijke $2500, voor een middelmatige kwetsbaarheid $1500, en voor een niet-gevaarlijke $300. De beloning voor een gevonden kwetsbaarheid wordt in de volgende verhouding verdeeld: 80% aan de onderzoeker die de kwetsbaarheid heeft gemeld, 20% aan de beheerder van het open source-project die een oplossing voor de kwetsbaarheid heeft toegevoegd.
De middelen ter financiering van het nieuwe programma worden in een aparte pool verzameld. De belangrijkste sponsors van het initiatief waren Facebook, GitHub, Elastic, Figma, TikTok en Shopify, en HackerOne-gebruikers kregen de kans om 1% tot 10% van de toegewezen fondsen aan de pool bij te dragen.
Bron: opennet.ru