HackerOne heeft het Internet Bug Bounty-project uitgebreid om de algehele open source-beveiliging te versterken.
Open source-projecten, die worden uitgevoerd door individuen en teams van ontwikkelaars over de hele wereld, worden door iedereen vertrouwd, van zakelijke spelers tot MKB's.
Open source-componenten worden openbaar opgeslagen en gedeeld en kunnen variëren van volledige besturingssystemen tot bibliotheken, educatieve tools en serversoftware, naast vele andere functies.
In een recent onderzoek ontdekten de Linux Foundation en edX dat de vraag naar open source-programmeurs en experts blijft stijgen, maar 92% van de managers wordt geconfronteerd met uitdagingen als het gaat om het vinden van het talent dat nodig is om huidige vacatures in te vullen.
Nu er al een tekort is en veel open source-projecten worden gevoed door ontwikkelaars die niet worden betaald voor hun inspanningen, kunnen beveiligingsproblemen soms door het net glippen. In 2020 suggereerde GitHub-onderzoek dat het gemiddeld tot vier jaar kan duren om open source-kwetsbaarheden te ontdekken – waarvan 83% wordt veroorzaakt door fouten en menselijke fouten.
Als gevolg hiervan zei de coderepository dat er “duidelijke mogelijkheden zijn om de kwetsbaarheidsdetectie te verbeteren” in de open source-ruimte.
Het gaat echter niet alleen om detectie; kwetsbaarheidsoplossingen moeten ook worden ontwikkeld en veilig worden toegepast.
Dit is waar het Internet Bug Bounty (IBB)-project om de hoek komt kijken. Nu beheerd door HackerOne, wordt IBB beschreven als een project om “financiering te bundelen en beveiligingsonderzoekers aan te moedigen kwetsbaarheden in open source-software te melden.”
Er is nu een nieuw financieringsmodel geïntroduceerd, met deelnemende patronen, waaronder Elastic, TikTok, Shopify en Facebook.
Er zijn drie belangrijke veranderingen: HackerOne-klanten krijgen nu de mogelijkheid om tussen 1% en 10% van hun bestaande uitgaven te bundelen voor het open source-project – waarvan ze mogelijk componenten gebruiken – en premies worden nu verdeeld tussen hackers en beheerders met een 80/20-verdeling.
“Omdat open source software-beheerders vrijwillig helpen bij het oplossen van ontdekte kwetsbaarheden, garandeert de premieverdeling betaling voor elke belanghebbende die bijdraagt aan het beheer van kwetsbaarheden”, zegt HackerOne.
De derde wijziging is een gestroomlijnde procedure voor het indienen van kwetsbaarheidsrapporten.
Sinds de lancering in 2013 zijn er meer dan 1.000 kwetsbaarheden gemeld, waarbij bijna 300 bug bounty hunters financiële prijzen hebben verdiend van in totaal ongeveer $ 900.000.
Projecten die momenteel binnen bereik zijn, zijn onder meer Ruby, Node.js, Python, Django en Curl, en er zullen in de toekomst meer opties worden geopend.
“Recente cyberaanvallen op softwaretoeleveringsketens tonen de urgentie aan om deze blinde vlekken van organisaties te beveiligen. En open source-software vertegenwoordigt een groeiend deel van 's werelds kritieke aanvallen op de toeleveringsketen”, zegt Alex Rice, CTO en mede-oprichter van HackerOne. “De nieuwe IBB stelt organisaties die profiteren van open source in staat om een actieve rol te spelen bij het gezamenlijk opbouwen van een veiligere digitale infrastructuur voor iedereen.”
Eerdere en gerelateerde berichtgeving
HackerOne's Top 10 openbare bug bounty-programma's voor 2020
Maak kennis met de hackers die miljoenen verdienen om het internet te redden, één bug per keer
Cyberbeveiliging: dit is hoe veel tophackers verdienen aan bug bounties
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Open Source Security TV Data Management CXO Datacenters 