Internet Bug Bounty de HackerOne comezó a recompensa la investigación de seguridad sobre las vulnerabilidades que afectan los proyectos de Software de Código Abierto (OSS) dentro de la cadena de suministro de software.

Uno de los mitos más extendidos (y equivocados) es que el software libre o de código abierto es más seguro por definición porque existen miles de ojos mirándolo y corrigiendo problemas. En un mundo ideal sí, pero la realidad es que los fallos están ahí, sea abierto o cerrado, de igual forma.

Incluso en el código abierto más popular puede retrasarse la detección de fallos. Según un estudio de GitHub se tardan de media cuatro años en detectar un fallo de seguridad, aunque solo un mes en arreglarlo. Cuando cada vez más, el software en general depende de piezas Open Source (el 94% en GitHub), esto es un problema global que se ha materializado en ataques de Supply Chain que pueden poner en peligro importantes infraestructuras.

Los pagos van de 300 a 5.000 dólares por las más críticas. Las recompensas se otorgan siguiendo un modelo dividido 80/20, donde el 80% de la recompensa se paga al buscador y el 20% se paga al Proyecto OSS. El monto de la recompensa se determina en el momento de la recompensa, NO en la presentación inicial de la vulnerabilidad. Las recompensas serán dinámicas y cambiarán regularmente según la cantidad de socios participantes.

El programa busca incentivar la investigación de seguridad en las dependencias de la cadena de suministro de software y código abierto; permitir que los beneficiarios del código abierto contribuyan a nuestra seguridad colectiva de manera equitativa y; brindar apoyo financiero a los investigadores de seguridad y los mantenedores de código abierto, que a menudo ofrecen su talento como voluntarios.

Fuente y redacción: segu-info.com.ar

Compartir