HackerOne , платформа для координации уязвимостей и поиска ошибок, запустила новую версию Community Edition для проектов с открытым исходным кодом. Компания построена на идее, что «учитывая достаточное количество глазных яблок, все уязвимости неглубоки». Ранее в этом месяце HackerOne объявила о раунде финансирования в размере 40 миллионов долларов , что позволит компании расширить свой рынок и добавить новые функции в платформу.
Проекты с открытым исходным кодом — это одна из областей, в которой HackerOne расширяет свое присутствие. Компания участвует в программе Internet Bug Bounty , которая помогает защитить основную интернет-инфраструктуру и программное обеспечение с открытым исходным кодом, но теперь HackerOne открывает собственную платформу.
«Одна из целей, которые я преследовал в своей работе с HackerOne, — построить еще более тесный мост между HackerOne и сообществом открытого исходного кода», — сказал консультант по стратегии сообщества Джоно Бэкон. Бэкон объявил о доступности новой версии Community Edition от HackerOne , которая еще официально не анонсирована, но уже открыта для заявителей.
Community Edition имеет все те же функции, что и профессиональная версия HackerOne, включая отправку/координацию уязвимостей, обнаружение дубликатов, репутацию хакера, аналитику и многое другое. Единственное отличие состоит в том, что он не включает платную поддержку клиентов и помощь по программе. Он также интегрируется со многими популярными инструментами отслеживания проблем, такими как JIRA, GitHub, Bugzilla, Zendesk, Track и другими.
Хотя название «Community Edition» может подсказать некоторым, что оно размещается самостоятельно, HackerOne на самом деле предоставляет его как предложение SaaS без необходимости установки или развертывания.
Проекты с открытым исходным кодом имеют право на участие, если они соответствуют нескольким требованиям:
- Должны быть проекты с открытым исходным кодом, на которые распространяется лицензия OSI .
- Быть активным и иметь возраст не менее 3 месяцев (возраст определяется выпущенными релизами/вкладами в код)
- Включите файл SECURITY.md в корень проекта, в котором содержится подробная информация о том, как сообщать об уязвимостях ( пример ) .
- Отображение ссылки на ваш профиль HackerOne из основной или дополнительной навигации на веб-сайте проекта.
- Поддерживать первоначальный ответ на новые отчеты менее чем за неделю
У WordPress нет собственного списка в каталоге HackerOne, но на странице Automattic говорится, что компания также приветствует отчеты для WordPress, BuddyPress и bbPress. Automattic устранила 446 ошибок с помощью своей программы на HackerOne, которую она поддерживала в течение последних трех лет. В каталоге также перечислены несколько других проектов, связанных с WordPress, в том числе плагин WordPoints , проекты Яна Данна и Flox .
Наличие краудсорсинговой программы безопасности становится все более важным, поскольку бриджи ежегодно обходятся компаниям в миллиарды долларов. Согласно отчету о глобальных рисках Всемирного экономического форума за 2016 год , «преступления в киберпространстве обошлись мировой экономике примерно в 445 миллиардов долларов».
Не все организации, перечисленные на HackerOne, предлагают вознаграждение за обнаружение ошибок, но вознаграждение является проверенным методом привлечения талантов в области безопасности. С момента запуска HackerOne его клиенты устранили более 37 000 уязвимостей и выплатили более 13 миллионов долларов в виде вознаграждений за обнаружение ошибок. К концу 2016 года сообщество хакеров HackerOne выросло почти до 100 000 человек.
Новая версия Community Edition предоставляет небольшим проектам и организациям с открытым исходным кодом доступ к сети HackerOne, состоящей из тысяч исследователей безопасности, и инструментам для управления сообщениями об уязвимостях. Проекты, претендующие на Community Edition, должны быть некоммерческими и иметь эффективную программу безопасности. Ответы на заявки обычно принимаются в течение одной рабочей недели.
