ارائه‌ی سرویس Bug Bounty برای پروژه های Open Source توسط HackerOne

0
72
ارائه‌ی سرویس Bug Bounty از سوی HackerOne

با فراهم نمودن دسترسی رایگان به نسخه پیشرفته پلتفرم HackerOne، پروژه‌های Open Source می‌توانند برنامه‌های امنیتی خود را اجرا نمایند.

HackerOne به عنوان ارائه‌دهنده‌‌ی یکی از محبوب‌ترین پلتفرم‌های Bounty Bug یا برنامه‌های جایزه در قبال کشف آسیب‌پذیری و رفع آنها، سرویس پیشرفته‌ی این شرکت را به صورت رایگان در اختیار پروژه‌های Open Source (متن باز) قرار خواهد داد.

اخیرا سخنگوی HackerOne  در گفتگویی، اهمیت بالای Open Source بودن پروژه‌ها برای این شرکت را مطرح کرده و اساس شکل‌گیری شرکت، محصولات و رویکرد آن را Open Source و فرهنگ توسعه‌ی نرم‌افزاری دانسته است. وی همچنین تمایل HackerOne به همکاری در این زمینه را اعلام نمود.

پلتفرم HackerOne می‌تواند تعامل شرکت‌ها با محققان امنیتی، دسته‌بندی گزارشات آنها و روند پاداش‌دهی را تسهیل نماید. تعداد بسیار کمی از شرکت‌ها از منابع لازم جهت ایجاد و نگهداری برنامه‌های Bug Bounty به همراه تمام فرآیندهای لازم برای پشتیبانی از آنها را برخوردار می‌باشند؛ بنابراین روشن است که راه‌اندازی پروژه‌های Open Source که اکثرا با دریافت کمک‌های مالی تامین می‌گردند بسیار دشوارتر است.

سرویس جدید HackerOne Community Edition، علاوه بر حمایت مالی مشتریان از تمام مزایای یک سرویس پیشرفته برخوردار خواهد بود که شامل تحویل و ثبت آسیب‌پذیری، همکاری‌ها‌‌، شناسایی نسخه‌ها‌ی تکراری (Duplication) و فرآیندهای آنالیز و مدیریت برنامه پاداش‌دهی می‌گردد.

پروژه‌های Open Source بایستی به منظور احراز صلاحیت خود، برخی شرایط اصلی از جمله ارائه‌ی یک کدِ منبع که از گواهی مورد تایید Open Source Initiative یا به اختصار OSI برخوردار است و یا دارا بودن بیش از سه سال سابقه فعالیت را ارائه نمایند. افزون بر این موارد، پروژه‌های درخواست‌کننده باید برای تحویل و ثبت آسیب‌پذیری‌ها یک Policy منتشر نمایند، علاوه بر اینکه باید برنامه امنیتی مربوطه را ارتقا داده و ظرف کمتر از یک هفته پاسخگوی گزارشات جدید باشند.

در‌حال‌حاضر ۳۶ پروژه‌ی Open Source از جمله Ruby، Rails، Discourse، Django، GitLab، Brave و Sentry از HackerOne استفاده می‌کنند که تا این لحظه بیش از ۱۲۰۰ آسیب‌پذیریِ گزارش‌شده توسط این پلتفرم را مرتفع نموده‌اند.

علاوه بر موارد ذکر شده، چندین پروژه‌‌ی منبع باز دیگر نیز از خدمات برنامه‌ی Internet Bug Bounty بهره می‌برند که توسط HackerOne اجرا شده و از طریق Facebook و Microsoft حمایت می‌گردد. برنامه‌هایی که وظیفه شناسایی باگ‌ها را بر عهده دارند، در صورت شناسایی هرگونه آسیب‌پذیری‌ در بسته‌های نرم‌افزاری Open-Source از جمله بسته‌های PHP، Python، Perl، Apache، Nginx یا OpenSSL (که برای زیرساخت اینترنت حیاتی می‌باشند)، پاداش می‌گیرند.

سخنگوی HackerOne، اعلام نموده است: هدف اصلی ما این است که فضای اینترنت را ایمن‌تر کنیم. با توجه به اینکه پروژه‌های Open-Source زمینه‌‌ی ایجاد بسیاری از محصولات و سرویس‌های هرروزه را فراهم می‌کنند، مایلیم که تا حد امکان از پروژه‌های مشابه در جهت اجرای برنامه‌های امنیتیِ ساده، کارآمد و با بهره‌وری بالا پشتیانی نماییم.

بدون دیدگاه

دیدگاهتان را بنویسید

*