HackerOne, координация уязвимости и платформа баунти ошибка, запустила новое издание сообщества для проектов с открытым исходным кодом. Компания построена вокруг понятия, что, «учитывая достаточно глазных яблок, все уязвимости являются мелкими». HackerOne объявила о $ 40 млн раунд финансирования в начале этого месяца, что позволяет компании расширить свой рынок и добавить новые функции на платформу.
Проекты с открытым исходным кодом являются одной из областей, где HackerOne расширяет свой охват. Компания участвует в программе Internet Bug Bounty, которая помогает обеспечить безопасность основной интернет-инфраструктуры и программного обеспечения с открытым исходным кодом, но HackerOne теперь открывает свою собственную платформу.
«Одна из целей, я имел в моей работе с HackerOne заключается в том, чтобы построить еще более тесный мост между HackerOne и с открытым исходным кодом сообщества», консультант по стратегии сообщества Джоно Бэкон сказал. Бэкон объявил о наличии New Community EditionHackerOne , который еще не был официально объявлен, но уже открыт для заявителей.
Сообщество Edition имеет все те же функции, как HackerOne в профессиональном издании, в том числе уязвимости представления / координации, дубликата обнаружения, хакер репутации, аналитики и многое другое. Разница лишь в том, что она не включает в себя платную поддержку клиентов и программную помощь. Он также интегрируется со многими популярными инструментами отслеживания проблем, такими как JIRA, GitHub, Bugzilla, zendesk, Track и другие.
Хотя название «Community Edition» может предложить некоторым, что он является самоуправляемым, HackerOne фактически предоставляет его как SaaS предлагая без каких-либо установки или развертывания требуется.
Проекты с открытым исходным кодом имеют право, если они отвечают нескольким требованиям:
- Должны быть проекты с открытым исходным кодом, охватываемые лицензией OSI
- Будьте активны и не менее 3 месяцев (возраст определяется отгруженные релизы / код взносов)
- Включите SECURITY.md в корне проекта, который предоставляет подробную информацию о том, как отправлять уязвимости(пример)
- Отображение ссылки на профиль HackerOne из основной или вторичной навигации на веб-сайте проекта
- Поддержание первоначального ответа на новые сообщения менее чем за неделю
WordPress не имеет своего собственного листинга в каталоге HackerOne, но страница Automattic говорит, что компания также приветствует доклады для WordPress, BuddyPress, и bbPress. Automattic было 446 ошибок решены через свою программу на HackerOne, который он поддерживается в течение последних трех лет. Несколько других проектов, связанных с WordPress также перечислены в каталоге, в том числе плагин WordPoints, проекты Иэна Данна, и Flox.
Наличие краудсорсинговой программы безопасности становится все более критичной, так как бриджи обходятся компаниям в миллиарды долларов каждый год. В докладе Всемирного экономического форума «Глобальные риски за 2016 год» подсчитано, что «преступления в киберпространстве стоили мировой экономике около 445 миллиардов долларов».
Не все организации, перечисленные на HackerOne предлагают ошибку щедроты, но щедроты являются проверенным методом привлечения безопасности талант. С момента запуска HackerOne, его клиенты устранили более 37 000 уязвимостей и выплатили более 13 миллионов долларов в виде наград за ошибку. К концу 2016 года сообщество хакеров HackerOne выросло почти до 100 000 человек.
Новое издание Community Edition предоставляет меньшие проекты с открытым исходным кодом и организациям, подверженным сети HackerOne, внедряемым тысячам исследователей в области безопасности, и средствам управления коммуникациями об уязвимостях. Проекты, применяемые для Community Edition, должны быть некоммерческими и способны запускать эффективную программу безопасности. Обычно на заявки отвечают в течение одной рабочей недели.
Оригинал: wptavern.com
