HackerOne расширяет программу выплат за выявление уязвимостей в открытом ПО

Изображение: Цитата из мультсериала «Масяня», эпизод 122 «Сублимация». Режиссёр Олег Куваев, Россия, 2014
Не работает
Не работает
Не работает

Программу начисления и выплаты вознаграждений за выявление уязвимостей в открытом программном обеспечении Internet Bug Bounty (IBB) обновила и расширила компания HackerOne. 21 сентября компания заявила об этом на ежегодной конференции компании Security@.

Программное обеспечение с открытым исходным кодом используется практически во всей современной цифровой инфраструктуре. В настоящее время, говорится в пресс-релизе компании, среднее, добротное, не очень насыщенное приложение использует 528 различных компонентов с открытым исходным кодом. Обнаруженные в 2020 году критические уязвимости существовали к моменту обнаружения в среднем около двух лет, и компании-разработчики приложений не имели доступа и возможности устранить выявленные недостатки используемых компонентов.

Миссия программы IBB заключается в обеспечении безопасности программного обеспечения с открытым исходным кодом. Метод достижения цели заключается в том, что разработчики ПО с открытым кодом формируют взносы в специальный фонд, из которого выплачивается вознаграждение лицам, обнаружившим уязвимость ПО.

Помимо самой HackerOne, участие в программе задекларировали Elastic, Facebook, Figma, GitHub, Shopify и TikTok.

HackerOne доложила на конференции, что за время существования IBB (программа была запущена в 2013 году) было выявлено свыше тысячи недочетов ПО. Старателям, обнаружившим уязвимости, было выплачено свыше $ 900 тысяч, число хакеров, принявших участие в программе тестирования безопасности программного обеспечения составило свыше трехсот человек.

Компания рассчитывает, что клиенты компании смогут воспользоваться программой IBB для тестирования своих разработок. При этом взносы в фонд составят от 1 до 10% от стоимости разработки ПО. Компания получает возможность держать руку на пульсе во время всего жизненного цикла продукции, вести работу по совершенствованию своего ПО не бесплатно: вознаграждение за найденную неисправность будет распределяться в пропорции 20/80: 20% от суммы вознаграждения получит «сопровождающий» проект, взявшийся устранить выявленные недостатки.

Среди первых открытых проектов, для которых началось предоставление выплат за найденные уязвимости, находятся Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django и Curl. В дальнейшем компания намерена расширить список тестируемого ПО.

За критическую уязвимость предусмотрена выплата $5 000, опасную — $2 500, среднюю — $1 500, неопасную — $300. Премия за найденную уязвимость распределяется в пропорции: 80% — исследователю, сообщившему об уязвимости, 20% — сопровождающему открытый проект, добавившему исправление уязвимости.

Среди клиентов компании HackerOne — Министерство обороны США, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapore, Nintendo, PayPal, Slack, Starbucks, Twitter и Verizon Media. HackerOne занял пятое место в списке самых инновационных компаний мира Fast Company за 2020 год.

Нашли ошибку? Выделите ее,
нажмите СЮДА или CTRL+ENTER