HackerOne, platforma, ktorá umožňuje bezpečnostným výskumníkom informovať spoločnosti a vývojárov softvéru o identifikácii zraniteľností a získavať za to odmeny, oznámila, že zahŕňa softvér s otvoreným zdrojovým kódom do rozsahu projektu Internet Bug Bounty. Odmeny je teraz možné vyplácať nielen za identifikáciu slabých miest v podnikových systémoch a službách, ale aj za hlásenie problémov v širokej škále otvorených projektov, ktoré vyvíjajú tímy aj jednotliví vývojári.
Medzi prvé open source projekty, ktoré začali poskytovať platby za nájdené zraniteľnosti, patria Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django a Curl. Zoznam sa v budúcnosti rozšíri. Za kritickú zraniteľnosť sa poskytuje platba 5000 2500 USD, za nebezpečnú - 1500 300 USD, za strednú - 80 20 USD a za nebezpečnú - XNUMX USD. Odmena za nájdenú zraniteľnosť sa rozdelí v nasledujúcom pomere: XNUMX % výskumníkovi, ktorý nahlásil zraniteľnosť, XNUMX % správcovi projektu s otvoreným zdrojovým kódom, ktorý pridal opravu zraniteľnosti.
Finančné prostriedky na financovanie nového programu sa akumulujú v samostatnom fonde. Hlavnými sponzormi iniciatívy boli Facebook, GitHub, Elastic, Figma, TikTok a Shopify a používatelia HackerOne dostali možnosť prispieť do fondu od 1 % do 10 % z pridelených prostriedkov.
Zdroj: opennet.ru