HackerOne héberge le projet Internet Bug Bounty pour sécuriser l’open source
HackerOne a étendu le projet Internet Bug Bounty afin de renforcer la sécurité globale de l’écosystème open source.
Les projets de logiciels libres, gérés par des individus et des équipes de développeurs du monde entier, sont utilisés par tous, des entreprises aux PME.
Les composants open source sont stockés et partagés publiquement, et peuvent aller de systèmes d’exploitation complets à des bibliothèques, des outils éducatifs et des logiciels de serveur, parmi de nombreuses autres fonctions.
Dans une enquête récente, la Fondation Linux et edX ont constaté que la demande de programmeurs et d’experts en logiciels libres continue d’augmenter, mais que 92 % des responsables sont confrontés à des difficultés lorsqu’il s’agit de trouver les talents nécessaires pour pourvoir les postes vacants.
Avec une pénurie déjà en place, et de nombreux projets open source alimentés par des développeurs qui ne sont pas payés pour leurs efforts, parfois, les problèmes de sécurité peuvent passer entre les mailles du filet. En 2020, une étude de GitHub a suggéré qu’en moyenne, il faut jusqu’à quatre ans pour découvrir les vulnérabilités des logiciels open source, dont 83 % sont dues à des erreurs et à des fautes humaines.
La société estime qu’il existe des “opportunités claires pour améliorer la détection des vulnérabilités” dans l’open source.
Il ne s’agit pas seulement de détection, mais aussi de développement et d’application sûre de correctifs de vulnérabilité.
C’est là qu’intervient le projet Internet Bug Bounty (IBB). Désormais géré par HackerOne, IBB est décrit comme un projet visant à “mettre en commun les fonds et à inciter les chercheurs en sécurité à signaler les vulnérabilités des logiciels open source”.
Un nouveau modèle de financement a été introduit, avec des participants tels que Elastic, TikTok, Shopify et Facebook.
Il y a plusieurs changements majeurs : les clients de HackerOne auront désormais la possibilité de mettre en commun entre 1 % et 10 % de leurs dépenses existantes pour les projets open source et les primes seront désormais divisées entre les hackers et les mainteneurs avec une répartition 80/20.
“Étant donné que les responsables de logiciels open source se portent volontaires pour aider à corriger les vulnérabilités découvertes, la répartition des primes garantit le paiement de chaque partie prenante qui contribue à la gestion des vulnérabilités”, explique HackerOne.
Le troisième changement est une procédure simplifiée pour la soumission des rapports de vulnérabilité.
Depuis son lancement en 2013, plus de 1 000 vulnérabilités ont été signalées, et près de 300 chasseurs de primes de bugs ont obtenu des récompenses financières totalisant environ 900 000 dollars.
Les projets actuellement concernés sont Ruby, Node.js, Python, Django et Curl, et d’autres options seront ouvertes à l’avenir.
“Les récentes cyberattaques contre les chaînes d’approvisionnement en logiciels démontrent l’urgence de sécuriser ces angles morts organisationnels. Et les logiciels libres représentent une part croissante des surfaces d’attaque des chaînes d’approvisionnement critiques dans le monde”, a déclaré Alex Rice, directeur technique et cofondateur de HackerOne. “Le nouvel IBB permet aux organisations bénéficiaires de l’open source de jouer un rôle actif dans la construction collective d’une infrastructure numérique plus sécurisée pour tous.”
Source : “ZDNet.com”
