HackerOne har utökat Internet Bug Bounty -projektet för att stärka den allmänna öppen källkodssäkerheten.
Öppen källkodsprojekt, som drivs av individer och team av utvecklare över hela världen, är beroende av allt från företagsspelare till små och medelstora företag.
Öppna källkomponenter lagras och delas offentligt och kan sträcka sig från fullständiga operativsystem till bibliotek, utbildningsverktyg och serverprogramvara, bland många andra funktioner.
I en nyligen genomförd undersökning fann Linux Foundation och edX att efterfrågan på programmerare och experter med öppen källkod fortsätter att stiga, men 92% av cheferna står inför utmaningar när det gäller att hitta de talanger som krävs för att fylla nuvarande jobbannonser.
Med en brist på plats och många projekt med öppen källkod som drivs av utvecklare som inte får betalt för sina ansträngningar, kan säkerhetsfrågor ibland glida genom nätet. År 2020 föreslog GitHub -forskning att det i genomsnitt kan ta upp till fyra år att upptäcka sårbarheter med öppen källkod – varav 83% orsakas av misstag och mänskliga fel.
Som ett resultat sa kodlagret att det finns “tydliga möjligheter att förbättra sårbarhetsdetektering” i det öppna källrummet.
Det handlar dock inte bara om upptäckt; sårbarhetsåtgärder måste också utvecklas och tillämpas säkert.
Det är här som Internet Bug Bounty (IBB) -projektet kommer in. IBB, som nu drivs av HackerOne, beskrivs som ett projekt för att “samla finansiering och stimulera säkerhetsforskare att rapportera sårbarheter inom programvara med öppen källkod.”
En ny finansieringsmodell har nu införts med deltagande mönster som Elastic, TikTok, Shopify och Facebook.
Det finns tre stora förändringar: HackerOne -kunder kommer nu att få möjlighet att slå samman mellan 1% och 10% av sina befintliga utgifter till open source -projektet – av vilka de kanske använder komponenter i omfattning – och utdelningar kommer nu att delas upp mellan hackare och underhållare med en delning på 80/20.
“Eftersom programvaruhållare med öppen källkod frivilligt hjälper till att åtgärda sårbarheter som upptäcks, garanterar bounty -split betalning för alla intressenter som bidrar till sårbarhetshantering”, säger HackerOne.
Den tredje ändringen är en strömlinjeformad procedur för inlämning av sårbarhetsrapport.
Sedan lanseringen 2013 har över 1 000 sårbarheter rapporterats, med nära 300 bug bounty hunters som tjänar ekonomiska utmärkelser på totalt cirka 900 000 dollar.
Projekt som för närvarande omfattas inkluderar Ruby, Node.js, Python, Django och Curl, med fler alternativ som kommer att öppnas i framtiden.
“De senaste cyberattackerna mot mjukvaruförsörjningskedjor visar att det är angeläget att säkra dessa organisatoriska blinda fläckar. Och programvara med öppen källkod representerar en växande del av världens kritiska attackkedjor för supply chain”, säger Alex Rice, CTO och medgrundare av HackerOne. “Den nya IBB ger organisationer som gynnas av öppen källkod möjlighet att spela en aktiv roll för att tillsammans bygga en säkrare digital infrastruktur för alla.”
Tidigare och relaterad täckning
HackerOnes topp 10 offentliga bug bounty -program 2020
Möt hackarna som tjänar miljoner för att rädda webben, en bugg i taget
Cybersecurity: Så här gör du många topphackare tjänar på bug bounties
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Öppen källkod Säkerhet TV Datahantering CXO Datacenter 