HackerOne, một nền tảng cho phép các nhà nghiên cứu bảo mật thông báo cho các công ty và nhà phát triển phần mềm về việc xác định các lỗ hổng và nhận phần thưởng khi làm như vậy, đã thông báo rằng nó sẽ đưa phần mềm nguồn mở vào phạm vi của dự án Internet Bug Bounty. Giờ đây, việc thanh toán phần thưởng có thể được thực hiện không chỉ để xác định các lỗ hổng trong hệ thống và dịch vụ của công ty mà còn để báo cáo các vấn đề trong một loạt các dự án mở được phát triển bởi cả nhóm và nhà phát triển cá nhân.
Các dự án nguồn mở đầu tiên bắt đầu cung cấp khoản thanh toán cho các lỗ hổng được tìm thấy bao gồm Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django và Curl. Danh sách sẽ được mở rộng trong tương lai. Đối với lỗ hổng nghiêm trọng, khoản thanh toán 5000 USD sẽ được cung cấp, cho lỗ hổng nguy hiểm - 2500 USD, cho lỗ hổng trung bình - 1500 USD và cho lỗ hổng không nguy hiểm - 300 USD. Phần thưởng cho một lỗ hổng được tìm thấy sẽ được phân bổ theo tỷ lệ sau: 80% cho nhà nghiên cứu đã báo cáo lỗ hổng, 20% cho người duy trì dự án nguồn mở đã bổ sung bản sửa lỗi cho lỗ hổng đó.
Kinh phí tài trợ cho chương trình mới được tích lũy trong một quỹ riêng. Các nhà tài trợ chính của sáng kiến này là Facebook, GitHub, Elastic, Figma, TikTok và Shopify, đồng thời người dùng HackerOne có cơ hội đóng góp từ 1% đến 10% số tiền được phân bổ cho nhóm.
Nguồn: opennet.ru