Платформа HackerOne, дающая возможность исследователям безопасности информировать компании и разработчиков программных продуктов о выявлении уязвимостей и получать за это вознаграждения, сообщила о включении открытого программного обеспечения в область действия проекта Internet Bug Bounty. Выплаты вознаграждений теперь могут быть совершены не только за выявление уязвимостей в корпоративных системах и сервисах, но за информирование о проблемах в широком спектре открытых проектов, развиваемых как командами, так и отдельными разработчиками.
В число первых открытых проектов, для которых началось предоставление выплат за найденные уязвимости, включены Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django и Curl. В дальнейшем список будет расширен. За критическую уязвимость предусмотрена выплата $5000, опасную – $2500, среднюю – $1500, неопасную – $300. Премия за найденную уязвимость распределяется в пропорции: 80% – исследователю, сообщившему об уязвимости, 20% – сопровождающему открытый проект, добавившему исправление уязвимости.
Средства для финансирования новой программы аккумулируются в отдельном пуле. Основными спонсорами инициативы выступили компании Facebook, GitHub, Elastic, Figma, TikTok и Shopify, а пользователям HackerOne предоставлена возможность передать в пул от 1% до 10% от выделяемых средств.