HackerOne漏洞奖励计划扩展至开源漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

开源项目由全球开发人员以个人形式或团队形式运营，很多企业都依赖于此。开源组件以公开方式存储和共享，可作为完整的操作系统、库、教育工具和服务器软件等使用。

近期，Linux 基金会和 edX 调查发现，虽然市场对开源程序员和专家的需求持续增加，但92%的管理人员面临着人才短缺的问题。人才短缺加上很多开源项目是由无法获得报酬的开发人员推动，因此安全问题有时会漏网。2020年，GitHub 开展的研究表明，开源漏洞平均需要长达四年的时间才会被发现，而其中83%的漏洞是由错误和人为因素造成的。为此，GitHub 指出，开源漏洞检测领域存在明显的提升空间。

然而，不只是检测，漏洞修复方案也需要进行开发并安全应用。而这就是 HackerOne 平台互联网漏洞奖励 (IBB) 项目发挥作用的地方。IBB 是“集中资助，激励安全研究员报告开源软件漏洞“的项目。

HackerOne 平台推出新的资助模型，Elastic、TikTok、Shopify 和 Facebook 都参与该计划。该模型具有三大改变：HackerOne 客户可选择将现有支出中的1%到10%作为资助，赏金变成黑客和开源项目维护人员之间八二分。HackerOne 指出，“由于开源软件维护人员志愿帮助修复已发现漏洞，因此奖金分成确保对漏洞管理做出贡献的每个利益相关方都会得到报酬。“第三个变化是简化漏洞报告提交程序。

自2013年成立以来，HackerOne 平台已收到超过1000个漏洞报告，其中近300个漏洞赏金猎人获取的现金奖励达到90万美元左右。目前涵盖在内的项目包括 Ruby、Node.js、Python、Django 和 Curl，未来将开放更多选择。

HackerOne 平台的首席技术官兼联合创始人 Alex Rice 指出，“近期针对软件供应链的网络攻击说明了保护这些组织机构盲点的紧迫性。开源软件在全球关键供应链攻击表面占据的比例越来越大。新的IBB项目促使开源的受益组织机构在为每个人共同创建更加安全的数字化基础设施中发挥积极作用。“