HackerOne расширяет проект Internet Bug Bounty для устранения ошибок в проектах с открытым исходным кодом

HackerOne расширяет проект Internet Bug Bounty для устранения ошибок в проектах с открытым исходным кодом. Фото: Pixabay

Компоненты с открытым исходным кодом хранятся и совместно используются публично и могут варьироваться от полных операционных систем до библиотек, образовательных инструментов и серверного программного обеспечения, а также многих других функций. 

В недавнем опросе Linux Foundation и edX обнаружили, что спрос на программистов и экспертов с открытым исходным кодом продолжает расти, но 92% менеджеров сталкиваются с проблемами, когда дело доходит до поиска специалистов в этой сфере.

При уже существующей нехватке и множестве проектов с открытым исходным кодом, поддерживаемых разработчиками, которым не платят за свои усилия, возникают проблемы с безопасностью, утверждает ZDNet.

В 2020 году исследование GitHub показало, что в среднем на обнаружение уязвимостей с открытым исходным кодом может уйти до четырёх лет. 83% таких уязвимостей вызваны « человеческим фактором»

Именно здесь на помощь приходит проект Internet Bug Bounty (IBB). Теперь управляемый HackerOne, IBB описывается как проект по «объединению финансирования и стимулированию исследователей безопасности сообщать об уязвимостях в программном обеспечении с открытым исходным кодом».

Представлена и ​​новая модель финансирования, в которой участвуют Elastic, TikTok, Shopify и Facebook. 

Основные изменения: клиентам HackerOne теперь будет предоставлена ​​возможность объединить от 1% до 10% своих текущих расходов в проект с открытым исходным кодом — из которых они могут использовать компоненты а, награды теперь будут разделены между исследователями и сопровождающими с разделением 80/20. 

Из заявления HackerOne:

«Поскольку специалисты по сопровождению программного обеспечения с открытым исходным кодом добровольно помогают в устранении обнаруженных уязвимостей, разделение вознаграждений обеспечивает оплату каждой заинтересованной стороны, которая вносит свой вклад в управление уязвимостями»

С момента запуска в 2013 году было зарегистрировано более 1000 уязвимостей.Вознаграждение за их обнаружение составило около 900 тыс. $.

Алекс Райс, технический директор и соучредитель HackerOne.

«Недавние кибератаки на цепочки поставок программного обеспечения демонстрируют безотлагательность устранения этих слепых зон организации. А программное обеспечение с открытым исходным кодом представляет собой растущую часть критически важных целей для атак в цепочках поставок в мире. Новый IBB даёт возможность организациям, пользующимся открытым исходным кодом, играть активную роль в коллективном создании более безопасной цифровой инфраструктуры для всех».

Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме

• Telegram стал площадкой для киберпреступников.
• В учётную запись Microsoft можно будет входить без пароля.
• В сети появился мощный и опасный ботнет.