ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

Νέο πρόγραμμα Internet Bug Bounty από την HackerOne για την βελτίωση της ασφάλειας του λογισμικού ανοιχτού κώδικα

Η HackerOne ανακοίνωσε την επόμενη δράση της στο πλαίσιο του προγράμματος Internet Bug Bounty (IBB) στο ετήσιο συνέδριο ασφαλείας της εταιρείας. Η αποστολή του IBB είναι να διασφαλίσει τον ανοιχτό κώδικα μέσω χρηματοδότησης και να παρέχει κίνητρα στους ερευνητές ασφάλειας να αναφέρουν ευπάθειες στο λογισμικό ανοιχτού κώδικα.

Η νέα αυτή δράση βασίζεται σε σε ένα νέο συνδυασμένο μοντέλο χρηματοδότησης, ώστε περισσότεροι οργανισμοί να μπορούν να αξιοποιήσουν το IBB για να εξασφαλίσουν ασφαλέστερες εξαρτήσεις ανοιχτού κώδικα μέσα στις αλυσίδες εφοδιασμού λογισμικού τους. Μαζί με το HackerOne, οι συμμετέχοντες εταίροι είναι οργανισμοί που βασίζονται σε ανοιχτό κώδικα για το λογισμικό τους και άλλες κρίσιμες ψηφιακές υποδομές, συμπεριλαμβανομένων των Elastic, Facebook, Figma, GitHub, Shopify, και TikTok.

«Το TikTok είναι υπερήφανο που υποστηρίζει καινοτόμες πρωτοβουλίες όπως το πιλοτικό πρόγραμμα HackerOne IBB για να ενισχύσει περαιτέρω όχι μόνο την ασφάλεια του TikTok, αλλά και να οδηγήσει ένα ασφαλέστερο Διαδίκτυο για όλους αξιοποιώντας τις προσπάθειες της παγκόσμιας ερευνητικής κοινότητας ασφάλειας», δήλωσε ο Roland Cloutier, Chief Security του TikTok .

Το λογισμικό ανοιχτού κώδικα βρίσκεται πίσω από σχεδόν όλες τις σύγχρονες ψηφιακές υποδομές, με τη μέση εφαρμογή να χρησιμοποιεί 528 διαφορετικά στοιχεία ανοιχτού κώδικα. Η πλειονότητα των ευπαθειών ανοιχτού κώδικα υψηλού κινδύνου που ανακαλύφθηκαν το 2020 υπήρχαν στον κώδικα για περισσότερα από δύο χρόνια και οι περισσότεροι οργανισμοί στερούνται άμεσου ελέγχου στο λογισμικό ανοιχτού κώδικα εντός των αλυσίδων εφοδιασμού για να διορθώσουν εύκολα αυτές τις αδυναμίες. Το IBB έχει ήδη σημειώσει πρόοδο για την αντιμετώπιση αυτών των προκλήσεων, με περισσότερα από 1.000 bugs να έχουν αποκαλυφθεί σε έργα ανοιχτού κώδικα από την έναρξη του το 2013, οδηγώντας σε βραβεία ύψους 900,000$ σε περίπου 300 ερευνητές ασφαλείας.

Το νέο μοντέλο χρηματοδότησης και το ενοποιημένο πρόγραμμα βελτιώνουν τα κίνητρα για συνεργάτες, maintaners και χάκερ για την εξασφάλιση της ασφάλειας έργων ανοιχτού κώδικα. Συγκεκριμένα, το νέο πρόγραμμα πραγματοποιεί τρεις βασικές αλλαγές στο αρχικό IBB:

  • Συγκέντρωση διορθώσεων ασφαλείας από υπάρχοντα προγράμματα bug bounty -Οι πελάτες του HackerOne θα μπορούν να αξιοποιήσουν το IBB για να βελτιώσουν την ασφάλεια των στοιχείων ανοιχτού κώδικα που χρησιμοποιούν, συγκεντρώνοντας το 1-10% των υφιστάμενων δαπανών με άλλους που μοιράζονται τους ίδιους κινδύνους τους.
  • Υποστήριξη σε ολόκληρο τον κύκλο ζωής μιας ευπάθειας – Τα bounties θα μοιραστούν μεταξύ των χάκερ και των maintainers κατά 80/20. Δεδομένου ότι οι maintainers λογισμικού ανοιχτού κώδικα προσφέρονται εθελοντικά για να βοηθήσουν στην αποκατάσταση τρωτών σημείων που έχουν ανακαλυφθεί, ο διαχωρισμός των πλεονεκτημάτων εξασφαλίζει την πληρωμή για κάθε ενδιαφερόμενο που συμβάλλει στη διαχείριση ευπάθειας.
  • Απλοποιημένη υποβολή ευπάθειας – Θα υπάρχει μια συγκεντρωτική ροή υποβολής και μια αποκλειστική ομάδα υποστήριξης στο HackerOne

Το νέο IBB θα χρηματοδοτήσει μερικά από τα πιο συχνά χρησιμοποιούμενα προγράμματα λογισμικού ανοιχτού κώδικα στο διαδίκτυο, συμπεριλαμβανομένων των Curl, Django, Electron, Node.js , Ruby και πολλά άλλα.

Πηγή άρθρου: https://www.helpnetsecurity.com/

Leave a Comment