HackerOne расширила программу поиска уязвимостей в открытом ПО

Cообщество HackerOne объявило о расширении программы поиска уязвимостей в проектах с открытым ПО. Инициатива проводится в рамках текущей программы Internet Bug Bounty.

В число проектов с открытым кодом, попадающих под программу выплаты вознаграждений HackerOne, включены: Ruby, Ruby on Rails, RubyGems, Curl, Electron, Django, Nginx и OpenSSL. За найденные уязвимости в этих проектах HackerOne будет выплачивать от $300 до $5000, в зависимости от критичности бага. Оплата будет проводится следующим образом. Четыре пятых награды сразу получит исследователь, который обнаружил проблему. Пятая часть награды будет перечислена разработчику, который занимается в открытом проекте направлением, которая затрагивает новая уязвимость. Он получит оплату от HackerOne после того, как выпустит патч против уязвимости.

«Программное обеспечение с открытым исходным кодом используется практически во всей современной цифровой инфраструктуре. В настоящее время среднее, добротное, не очень насыщенное приложение использует 528 различных компонентов с открытым исходным кодом. Обнаруженные в 2020 году критические уязвимости существовали к моменту обнаружения в среднем около двух лет, и компании-разработчики приложений не имели доступа и возможности устранить выявленные недостатки используемых компонентов», — говорится в пресс-релизе компании.

Наряду с HackerOne участвующими партнерами являются организации, которые полагаются на открытый исходный код для цепочек поставок программного обеспечения и другой критически важной цифровой инфраструктуры, — Elastic, Facebook, Figma, GitHub, Shopify и TikTok.

Источник 📢