HackerOne, plataforma que permite que pesquisadores de segurança informem empresas e desenvolvedores de software sobre a identificação de vulnerabilidades e recebam recompensas por isso, anunciou que está incluindo software de código aberto no escopo do projeto Internet Bug Bounty. Os pagamentos de recompensas podem agora ser feitos não apenas pela identificação de vulnerabilidades em sistemas e serviços corporativos, mas também pela comunicação de problemas numa ampla gama de projetos abertos desenvolvidos por equipes e desenvolvedores individuais.
Os primeiros projetos de código aberto a começar a fornecer pagamentos para vulnerabilidades encontradas incluem Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django e Curl. A lista será ampliada futuramente. Para uma vulnerabilidade crítica, é fornecido um pagamento de US$ 5000, para uma vulnerabilidade perigosa - US$ 2500, para uma vulnerabilidade média - US$ 1500, e para uma não perigosa - US$ 300. A recompensa por uma vulnerabilidade encontrada é distribuída na seguinte proporção: 80% para o pesquisador que relatou a vulnerabilidade, 20% para o mantenedor do projeto de código aberto que adicionou uma correção para a vulnerabilidade.
Os fundos para financiar o novo programa são acumulados num fundo separado. Os principais patrocinadores da iniciativa foram Facebook, GitHub, Elastic, Figma, TikTok e Shopify, e os usuários do HackerOne tiveram a oportunidade de contribuir com 1% a 10% dos fundos alocados para o pool.
Fonte: opennet.ru