Alors que les logiciels open source attirent de plus en plus d’entreprises, ces dernières veulent s’assurer de ne pas avoir de vulnérabilités existantes dans leur code. La plateforme HackerOne qui avait initialement lancé un programme « internet bug bounty » (IBB) en 2013, accueille désormais de plus en plus de sponsors de renommée, à l’exemple de TikTok, Elastic, Facebook, Figma, GitHub, ou encore Shopify. L’objectif : encourager les hackers à identifier et remonter les vulnérabilités des principaux projets du milieu open source. Depuis son lancement, la plateforme a permis de trouver 1 000 bugs et a versé 900 000 dollars à environ 300 hackers.
Aujourd’hui, les sponsors ont décidé de lancer un autre programme IBB afin de « permettre aux entreprises bénéficiaires de l'open source de jouer un rôle actif dans la construction collective d'une infrastructure numérique plus sécurisée », assure Alex Rice CTO et co-fondateur de HackerOne dans l'annonce. Le dernier programme propose aux clients de HackerOne de mettre en commun entre 1 et 10% des budgets qu’ils allouent à leurs propres programmes de bug bounty pour IBB.
Vers une simplification du processus de signalement
Il emploiera par ailleurs des « mainteneurs » bénévoles qui corrigent les vulnérabilités – ceux-ci obtiendront 20% de la prime, a déclaré la société. « Il s’agit souvent d’un effort ingrat réalisé par des bénévoles surchargés de travail et sous-financés qui travaillent sans relâche pour maintenir les projets OSS. Nous pensons qu'il est nécessaire de soutenir leurs efforts en tandem pour renforcer la communauté » a déclaré HackerOne. Les 80% restants seront versés aux hackers qui découvrent les failles. La société s'est également engagée à améliorer le processus de signalement d’une faille pour les chasseurs de bugs open source et se réunira chaque semaine pour attribuer des récompenses à toutes les soumissions éligibles. Par ce parrainage, les entreprises comme TikTok ou Facebook comptent réaffirmer leur image de marque et regagner la confiance des utilisateurs sur les questions liées à la sécurité.