Haberler
HackerOne Internet Bug Bounty Projesini Genişletti
HackerOne, açık kaynak güvenliğini güçlendirmek adına ödül avcılığı programını genişlettiğini açıkladı.
Dünya genelinde bireyler ve geliştiriciler tarafından yürütülen açık kaynak projeleri, şirketlerden KOBİ‘lere kadar tüm organizasyonların güvendiği araçları temsil ediyor.
Açık kaynak bileşenleri kamuya açık olarak depolanıyor ve paylaşılıyor. Söz konusu bileşenler tam teşekküllü işletim sistemlerinden arşivlere, eğitim araçlarına, sunucu yazılımına ve diğer fonksiyonları temsil edebiliyor.
Yeni bir araştırmada açık kaynak projelere duyulan ihtiyacın arttığı tespit edilirken, yöneticilerin %92’sinin bu alan için gerekli iş pozisyonunu doldurmak adına yetenek sıkıntısı çektiği anlaşıldı.
Yetenek sıkıntısının eksik kalması ve geliştiricilerin açık kaynak projeleri için bütçe desteği almaması haliyle birçok güvenlik zafiyetine kapı aralıyor. GitHub tarafından geçtiğimiz yıl sunulan veriye göre, insan hatalarından kaynaklanan zafiyetlerin tespit edilmesi dört sene sürebiliyor.
Sonuç olarak açık kaynak projeleri güvenlik zafiyetlerini tespit edecek ve yamayacak insanlara ihtiyaç duyuyor.
Bu kapsamda HackerOne tarafından yönetilen Internet BugBounty (IBB) programı, güvenlik araştırmacılarını açık kaynak yazılımlardaki zafiyetleri bulmak için teşvik eden bir proje ve Elastic, TikTok, Shopify ve Facebook tarafından desteklenen program için yeni finans modeli hazırlandığı belirtildi.
Yeni model kapsamında HackerOne müşterileri mevcut harcamalarının %1 veya %10’unu açık kaynaklara yönlendirme imkanı bulacak ve ödüller beyaz şapkalı korsanlar ile projeleri sürdürenler arasında 80/20 oransal paylaşımı şeklinde dağıtılacak. Model kapsamındaki üçüncü seçenek, zafiyet bildirim raporlaması.
2013’te hayata geçirilmesinden bu yana IBB üzerinde 1.000 zafiyet tespit edildi ve 300 ödül avcısı toplamda yaklaşık 900 bin dolar ödül aldı.
Üzerinde çalışılan mevcut projeler arasında Ruby, Node.js, Python, Django ve Curl yer alırken, gelecekte daha fazla opsiyonun söz konusu olacağı belirtildi.
Güvenlik uzmanları, tedarik zincir sistemlerinin yakın geçmişte maruz kaldığı saldırıların örgütsel zafiyetlerin kapatılması hususundaki aciliyeti öne çıkardığını belirtirken yeni finans modeli kapsamında IBB, finansör olarak daha güçlü bir dijital altyapı oluşturulması adına şirketlerin topluca hareket etmeleri için teşvik sunacak.
