HackerOne, platforma, ki varnostnim raziskovalcem omogoča, da obveščajo podjetja in razvijalce programske opreme o odkrivanju ranljivosti in za to prejmejo nagrade, je objavila, da vključuje odprtokodno programje v obseg projekta Internet Bug Bounty. Nagrade je zdaj mogoče izplačati ne le za odkrivanje ranljivosti v korporativnih sistemih in storitvah, ampak tudi za poročanje o težavah v širokem naboru odprtih projektov, ki so jih razvile tako ekipe kot posamezni razvijalci.
Prvi odprtokodni projekti, ki so začeli zagotavljati plačila za najdene ranljivosti, vključujejo Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django in Curl. Seznam se bo v prihodnosti razširil. Za kritično ranljivost je predvideno plačilo v višini 5000 $, za nevarno - 2500 $, za srednjo - 1500 $ in za nenevarno - 300 $. Nagrada za najdeno ranljivost se razdeli v naslednjem razmerju: 80 % raziskovalcu, ki je prijavil ranljivost, 20 % vzdrževalcu odprtokodnega projekta, ki je dodal popravek ranljivosti.
Sredstva za financiranje novega programa se zbirajo v posebnem skladu. Glavni pokrovitelji pobude so bili Facebook, GitHub, Elastic, Figma, TikTok in Shopify, uporabniki HackerOne pa so imeli možnost prispevati od 1 % do 10 % dodeljenih sredstev v sklad.
Vir: opennet.ru