HackerOne 是一個平台,允許安全研究人員向公司和軟體開發人員通報如何識別漏洞並因此獲得獎勵,該平台宣布將開源軟體納入 Internet Bug Bounty 專案的範圍。現在,獎勵的支付不僅可以用於識別公司係統和服務中的漏洞,還可以用於報告團隊和個人開發人員開發的各種開放專案中的問題。
第一個開始為發現的漏洞提供付款的開源專案包括 Nginx、Ruby、RubyGems、Electron、OpenSSL、Node.js、Django 和 Curl。未來該名單還將進一步擴大。對於嚴重漏洞,支付 5000 美元,對於危險漏洞,支付 2500 美元,對於中等漏洞,支付 1500 美元,對於非危險漏洞,支付 300 美元。發現漏洞的獎勵以以下比例分配:80%獎勵給報告該漏洞的研究人員,20%獎勵給修復漏洞的開源專案的維護者。
新計劃的資金將累積在一個單獨的資金池中。該計劃的主要贊助商是 Facebook、GitHub、Elastic、Figma、TikTok 和 Shopify,HackerOne 用戶有機會向資金池貢獻 1% 到 10% 的分配資金。
來源: opennet.ru