HackerOne, platforma umożliwiająca badaczom bezpieczeństwa informowanie firm i twórców oprogramowania o identyfikowaniu luk w zabezpieczeniach i otrzymywanie za to nagród, ogłosiła, że włącza oprogramowanie open source do projektu Internet Bug Bounty. Wypłaty nagród można teraz dokonywać nie tylko za identyfikację luk w systemach i usługach korporacyjnych, ale także za zgłaszanie problemów w szerokiej gamie otwartych projektów rozwijanych zarówno przez zespoły, jak i indywidualnych programistów.
Do pierwszych projektów open source, które rozpoczęły zapewnianie płatności za wykryte luki, należą Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django i Curl. W przyszłości lista będzie poszerzana. Za podatność krytyczną przewidziana jest opłata w wysokości 5000 dolarów, za niebezpieczną – 2500 dolarów, za średnią – 1500 dolarów, a za nieszkodliwą – 300 dolarów. Nagroda za znalezioną lukę jest rozdzielana w następującej proporcji: 80% dla badacza, który zgłosił lukę, 20% dla opiekuna projektu open source, który dodał poprawkę dla luki.
Środki na finansowanie nowego programu gromadzone są w osobnej puli. Głównymi sponsorami inicjatywy byli Facebook, GitHub, Elastic, Figma, TikTok i Shopify, a użytkownicy HackerOne otrzymali możliwość wpłaty od 1% do 10% przyznanych środków na pulę.
Źródło: opennet.ru