HackerOne 是一个平台,允许安全研究人员向公司和软件开发人员通报如何识别漏洞并因此获得奖励,该平台宣布将开源软件纳入 Internet Bug Bounty 项目的范围。 现在,奖励的支付不仅可以用于识别公司系统和服务中的漏洞,还可以用于报告团队和个人开发人员开发的各种开放项目中的问题。
第一个开始为发现的漏洞提供付款的开源项目包括 Nginx、Ruby、RubyGems、Electron、OpenSSL、Node.js、Django 和 Curl。 未来该名单还将进一步扩大。 对于严重漏洞,支付 5000 美元,对于危险漏洞,支付 2500 美元,对于中等漏洞,支付 1500 美元,对于非危险漏洞,支付 300 美元。 发现漏洞的奖励按照以下比例分配:80% 奖励给报告该漏洞的研究人员,20% 奖励给修复该漏洞的开源项目的维护者。
新计划的资金将积累在一个单独的资金池中。 该计划的主要赞助商是 Facebook、GitHub、Elastic、Figma、TikTok 和 Shopify,HackerOne 用户有机会向资金池贡献 1% 到 10% 的分配资金。
来源: opennet.ru