HackerOne har udvidet Internet Bug Bounty -projektet til at styrke den overordnede open source -sikkerhed.
Open source -projekter, der drives af enkeltpersoner og teams af udviklere over hele verden, er afhængige af alt fra virksomhedsspillere til SMB'er.
Open source -komponenter gemmes og deles offentligt og kan variere fra fulde operativsystemer til biblioteker, uddannelsesværktøjer og serversoftware blandt mange andre funktioner.
I en nylig undersøgelse fandt Linux Foundation og edX, at efterspørgslen efter open source -programmører og eksperter fortsat stiger, men 92% af lederne står over for udfordringer, når det kommer til at finde det talent, der kræves for at udfylde nuværende stillingsopslag.
Med en mangel allerede på plads og mange open source -projekter drevet af udviklere, der ikke får betalt for deres indsats, kan nogle gange sikkerhedsproblemer glide gennem nettet. I 2020 foreslog GitHub -forskning, at det i gennemsnit kan tage op til fire år at opdage sårbarheder i open source – hvoraf 83% skyldes fejl og menneskelige fejl.
Som et resultat sagde kodelagret, at der er “klare muligheder for at forbedre detektering af sårbarhed” i open source -rummet.
Det handler dog ikke kun om afsløring; sårbarhedsrettelser skal også udvikles og anvendes sikkert.
Det er her, Internet Bug Bounty (IBB) -projektet kommer ind. IBB, der nu ledes af HackerOne, beskrives som et projekt, der skal “samle finansiering og tilskynde sikkerhedsforskere til at rapportere sårbarheder inden for open source -software.”
En ny finansieringsmodel er nu blevet introduceret med deltagende mønstre, herunder Elastic, TikTok, Shopify og Facebook.
Der er tre store ændringer: HackerOne -klienter får nu mulighed for at samle mellem 1% og 10% af deres eksisterende forbrug til open source -projektet – hvoraf de muligvis bruger komponenter i omfang – og dusørerne vil nu blive delt mellem hackere og vedligeholdere med en opdeling på 80/20.
“Da open source software -vedligeholdere frivilligt hjælper med at afhjælpe sårbarheder, der opdages, sikrer bounty split betaling for alle interessenter, der bidrager til sårbarhedsstyring,” siger HackerOne.
Den tredje ændring er en strømlinet procedure for indsendelse af sårbarhedsrapporter.
Siden lanceringen i 2013 er der blevet rapporteret over 1.000 sårbarheder, hvor tæt på 300 bug bounty jægere har tjent finansielle priser på i alt cirka $ 900.000.
Projekter, der i øjeblikket er omfattet, omfatter Ruby, Node.js, Python, Django og Curl, med flere muligheder, der skal åbnes i fremtiden.
“Nylige cyberangreb mod softwareforsyningskæder viser, hvor vigtigt det er at sikre disse organisatoriske blinde vinkler. Og open source-software repræsenterer en voksende del af verdens kritiske forsyningskædeangrebsoverflader,” siger Alex Rice, CTO og medstifter af HackerOne. “Den nye IBB giver organisationer, der er modtagere af open source, mulighed for at spille en aktiv rolle i kollektivt at opbygge en mere sikker digital infrastruktur for alle.”
Tidligere og relateret dækning
HackerOnes 2020 Top 10 offentlige bug bounty -programmer
Mød hackere, der tjener millioner for at redde nettet, en fejl ad gangen
Cybersecurity: Sådan kan du mange top -hackere tjener på bug -bounties
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Open Source Security TV Data Management CXO Data Centers 