Платформа HackerOne, що дає можливість дослідникам безпеки інформувати компанії та розробників програмних продуктів про виявлення вразливостей та отримувати за це винагороди, повідомила про включення відкритого програмного забезпечення в сферу дії проекту Internet Bug Bounty. Виплати винагород тепер можуть бути здійснені не тільки за виявлення вразливостей у корпоративних системах та сервісах, а й за інформування про проблеми у широкому спектрі відкритих проектів, що розвиваються як командами, так і окремими розробниками.
До перших відкритих проектів, для яких почалося надання виплат за знайдені вразливості, включені Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django і Curl. Надалі список буде розширено. За критичну вразливість передбачено виплату $5000, небезпечну — $2500, середню — $1500, безпечну — $300. Премія за знайдену вразливість розподіляється у пропорції: 80% - досліднику, який повідомив про вразливість, 20% - супроводжує відкритий проект, який додав виправлення вразливості.
Кошти для фінансування нової програми акумулюються в окремому пулі. Основними спонсорами ініціативи виступили компанії Facebook, GitHub, Elastic, Figma, TikTok і Shopify, а користувачам HackerOne надано можливість передати в пул від 1% до 10% від коштів, що виділяються.
Джерело: opennet.ru