HackerOne, en plattform som lar sikkerhetsforskere informere selskaper og programvareutviklere om å identifisere sårbarheter og motta belønninger for å gjøre det, kunngjorde at den inkluderer åpen kildekode-programvare i omfanget av Internet Bug Bounty-prosjektet. Utbetalinger av belønninger kan nå gjøres ikke bare for å identifisere sårbarheter i bedriftssystemer og tjenester, men for å rapportere problemer i et bredt spekter av åpne prosjekter utviklet av både team og individuelle utviklere.
De første åpen kildekode-prosjektene som begynte å gi betalinger for funnet sårbarheter inkluderer Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django og Curl. Listen vil bli utvidet i fremtiden. For en kritisk sårbarhet gis en betaling på $5000, for en farlig - $2500, for en middels - $1500, og for en ikke-farlig - $300. Belønningen for en funnet sårbarhet deles ut i følgende andel: 80 % til forskeren som rapporterte sårbarheten, 20 % til vedlikeholderen av åpen kildekode-prosjektet som la til en løsning for sårbarheten.
Midler for å finansiere det nye programmet samles i en egen pool. Hovedsponsorene for initiativet var Facebook, GitHub, Elastic, Figma, TikTok og Shopify, og HackerOne-brukere fikk muligheten til å bidra med fra 1 % til 10 % av de tildelte midlene til bassenget.
Kilde: opennet.ru