HackerOne, o platformă care le permite cercetătorilor de securitate să informeze companiile și dezvoltatorii de software despre identificarea vulnerabilităților și să primească recompense pentru acest lucru, a anunțat că include software open source în domeniul de aplicare al proiectului Internet Bug Bounty. Plățile recompenselor se pot face acum nu numai pentru identificarea vulnerabilităților în sistemele și serviciile corporative, ci și pentru raportarea problemelor într-o gamă largă de proiecte deschise dezvoltate atât de echipe, cât și de dezvoltatori individuali.
Primele proiecte open source care au început să ofere plăți pentru vulnerabilitățile găsite includ Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django și Curl. Lista va fi extinsă în viitor. Pentru o vulnerabilitate critică se asigură o plată de 5000 USD, pentru una periculoasă - 2500 USD, pentru una medie - 1500 USD, iar pentru una nepericuloasă - 300 USD. Recompensa pentru o vulnerabilitate găsită este distribuită în următoarea proporție: 80% cercetătorului care a raportat vulnerabilitatea, 20% întreținătorului proiectului open source care a adăugat o remediere pentru vulnerabilitate.
Fondurile pentru finanțarea noului program sunt acumulate într-un fond separat. Principalii sponsori ai inițiativei au fost Facebook, GitHub, Elastic, Figma, TikTok și Shopify, iar utilizatorilor HackerOne li sa oferit posibilitatea de a contribui cu 1% până la 10% din fondurile alocate pool-ului.
Sursa: opennet.ru