HackerOne будет платить за нахождение уязвимостей в открытом ПО

6pbm3t702gu-gfdn7vnged-keo4.jpeg

21 сентября 2021 года сообщество HackerOne объявило о запуске программы поиска уязвимостей в проектах с открытым ПО. Она будет входить внутрь текущей программы платформы под названием Internet Bug Bounty.
В настоящий момент в число проектов с открытым кодом, попадающих под программу выплаты вознаграждений HackerOne, включены: Ruby, Ruby on Rails, RubyGems, Curl, Electron, Django, Nginx и OpenSSL. За найденные уязвимости в этих проектах HackerOne будет выплачивать от $300 до $5000, в зависимости от критичности бага. Оплата будет проводится таким образом — четыре пятых награды сразу получит исследователь, который обнаружил проблему. Пятая часть награды будет перечислена разработчику, который занимается в открытом проекте направлением, которая затрагивает новая уязвимость. Он получит оплату от HackerOne после того, как выпустит патч против уязвимости.

Спонсорами новой программы обнаружения уязвимостей в проектах с открытым ПО стали Elastic. Facebook, Figma, GitHub, Shopify и TikTok.

15 сентября Google объявила, что профинансирует аудит безопасности восьми открытых проектов, включая Git, Lodash, Laravel, Slf4j, Jackson (Jackson-core и Jackson-databind) и Apache Httpcomponents.

В декабре 2020 года опрос сообщества свободного программного обеспечения с открытым исходным кодом показал, что разработчики ПО с открытым исходным кодом уделяют вопросам безопасности менее 3% времени.

В марте 2020 года компания WhiteSource опубликовала результаты исследований уязвимостей в проектах с открытым исходным кодом за 2019 год. Как выяснили специалисты, число ошибок выросло почти на 50% в 2019 году по сравнению с предыдущим. В компании считают, что этот рост связан с тем, что уязвимости стали чаще обнаруживать

© Habrahabr.ru