HackerOne har utvidet Internet Bug Bounty -prosjektet til å styrke den generelle åpen kildekode -sikkerheten.
Open source -prosjekter, drevet av enkeltpersoner og team av utviklere over hele verden, er avhengige av alt fra foretaksaktører til små og mellomstore bedrifter.
Åpne kildekomponenter lagres og deles offentlig, og kan variere fra fulle operativsystemer til biblioteker, utdanningsverktøy og serverprogramvare, blant mange andre funksjoner.
I en nylig undersøkelse fant Linux Foundation og edX at etterspørselen etter programmerere og eksperter med åpen kildekode fortsetter å stige, men 92% av lederne står overfor utfordringer når det gjelder å finne talentet som kreves for å fylle nåværende stillingsannonser.
Med mangel allerede på plass, og mange åpen kildekode -prosjekter drevet av utviklere som ikke får betalt for innsatsen, kan noen ganger sikkerhetsproblemer gli gjennom nettet. I 2020 antydet GitHub -forskning at det i gjennomsnitt kan ta opptil fire år å oppdage sårbarheter med åpen kildekode – 83% av disse er forårsaket av feil og menneskelige feil.
Som et resultat sa kodelagret at det er “klare muligheter for å forbedre sårbarhetsdeteksjon” i åpen kildekode.
Det handler imidlertid ikke bare om deteksjon; sårbarhetsrettelser må også utvikles og brukes trygt.
Det er her Internet Bug Bounty (IBB) -prosjektet kommer inn. IBB blir nå administrert av HackerOne og beskrives som et prosjekt for å “samle finansiering og stimulere sikkerhetsforskere til å rapportere sårbarheter i programvare med åpen kildekode.”
En ny finansieringsmodell er nå introdusert, med deltakende mønstre inkludert Elastic, TikTok, Shopify og Facebook.
Det er tre store endringer: HackerOne -klienter vil nå få muligheten til å samle mellom 1% og 10% av sine eksisterende utgifter til åpen kildekode -prosjektet – hvorav de muligens bruker komponenter i omfang – og bounties vil nå bli delt mellom hackere og vedlikeholdere med en deling på 80/20.
“Siden vedlikeholdere av åpen kildekode -programvare frivillig hjelper til med å utbedre sårbarheter som oppdages, sikrer bounty -splittelsen betaling for alle interessenter som bidrar til sårbarhetsstyring,” sier HackerOne.
Den tredje endringen er en strømlinjeformet prosedyre for innsending av sårbarhetsrapport.
Siden lanseringen i 2013 har det blitt rapportert over 1000 sårbarheter, med nærmere 300 bugpremiejegere som tjener økonomiske priser på til sammen 900 000 dollar.
Prosjekter som nå er omfattet inkluderer Ruby, Node.js, Python, Django og Curl, med flere alternativer som skal åpnes i fremtiden.
“Nylige cyberangrep mot programvareforsyningskjeder viser at det er presserende å sikre disse organisatoriske blinde flekkene. Og åpen kildekode-programvare representerer en voksende del av verdens kritiske forsyningskjede-angrepsoverflater,” sa Alex Rice, CTO og medstifter av HackerOne. “Den nye IBB gir organisasjoner som mottar åpen kildekode muligheten til å spille en aktiv rolle i å bygge en sikrere digital infrastruktur for alle sammen.”
Tidligere og beslektet dekning
HackerOnes topp 10 offentlige bug bounty -programmer 2020 – Møt hackere som tjener millioner på å redde nettet, én feil om gangen
Cybersecurity: Slik gjør du mange topp hackere tjener på bug bounties
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Open Source Security TV Data Management CXO Data Centers 