HackerOne, en plattform som gör det möjligt för säkerhetsforskare att informera företag och mjukvaruutvecklare om att identifiera sårbarheter och få belöningar för att göra det, tillkännagav att den inkluderar programvara med öppen källkod inom ramen för Internet Bug Bounty-projektet. Betalningar av belöningar kan nu göras inte bara för att identifiera sårbarheter i företagssystem och tjänster, utan för att rapportera problem i ett brett utbud av öppna projekt utvecklade av både team och enskilda utvecklare.
De första projekt med öppen källkod som började ge betalningar för upptäckta sårbarheter inkluderar Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django och Curl. Listan kommer att utökas i framtiden. För en kritisk sårbarhet tillhandahålls en betalning på $5000, för en farlig - $2500, för en medium - $1500 och för en icke-farlig - $300. Belöningen för en hittad sårbarhet delas ut i följande proportioner: 80 % till forskaren som rapporterade sårbarheten, 20 % till underhållaren av open source-projektet som lade till en fix för sårbarheten.
Medel för att finansiera det nya programmet samlas i en separat pool. Huvudsponsorerna för initiativet var Facebook, GitHub, Elastic, Figma, TikTok och Shopify, och HackerOne-användare fick möjlighet att bidra med från 1 % till 10 % av de tilldelade medlen till poolen.
Källa: opennet.ru