Bug Bounty es un título utilizado por las empresas para denominar a un concurso mediante el cual ofrecen recompensas a todos aquellos que reporten fallos de seguridad en sus productos y plataformas con el fin de poder solucionarnos y evitar, con las recompensas, que estos fallos se vendan en la Deep Web. Algunas grandes empresas como Microsoft, Google o Facebook tienen sus propias plataformas de recompensas, sin embargo, también existen plataformas especializadas con mayor comunidad y accesibilidad para todos como es el caso de HackerOne.
HackerOne es una plataforma profesional que ofrece un servicio Bug Bounty a todas aquellas empresas y desarrolladoras de software que quieran hacer que sus productos sean más seguros. Muchas empresas de Internet, como Twitter, Dropbox, Adobe, Yahoo, Uber, GitHub y Snapchat, entre otras, hacen uso de esta plataforma para poder identificar y solucionar fallos gracias a expertos externos a la compañía, quienes reciben una recompensa según la gravedad del fallo.
Los servicios de HackerOne son de pago, y tienen, además, un coste bastante elevado, coste que muchos desarrolladores no pueden asumir, y menos cuando hablamos de software libre sin ningún tipo de ingresos. Para poder apoyar el desarrollo de software libre, esta plataforma ha decidido lanzar una versión gratuita de su programa Bug Bounty a la que cualquier proyecto que cumpla con unas condiciones básicas podrá acogerse con el fin de poder encontrar y solucionar fallos de seguridad en estos proyectos que no pueden permitirse pagar por un programa de recompensas.
Las condiciones de HackerOne para el Bug Bounty del software de código abierto
Obviamente, la primera condición es que el proyecto sea totalmente de código abierto, ya que los proyectos privativos tienen que acogerse a la versión Profesional de HackerOne. Además, estos proyectos también tienen que cumplir con las siguientes sencillas condiciones:
- Ser un proyecto activo y con, al menos, 3 meses de vida.
- Que el proyecto tenga una licencia OSI compatible.
- Debe tener un archivo SECURITY.md correctamente formulado.
- Se debe mostrar un enlace al perfil de HacerOne.
- Los tickets de seguridad se deben responder, como máximo, en una semana.
Por lo demás, no hay más condiciones. Cualquier otro proyecto, da igual su popularidad o el lenguaje en el que esté programado, podrá unirse a este programa de recompensas de forma gratuita.
Este nuevo proyecto, llamado HackerOne Community Edition, se encuentra ya disponible desde el siguiente enlace.
Antes incluso de este anuncio, algunos grandes proyectos como Django, Discourse, Ruby, Ruby on Rails, Brave, GitLab y Sentry ya forman parte del programa de recompensas gratuito de HackerOne, y la compañía espera poder albergar un gran número de proyectos más y ayudarlos así a corregir posibles fallos de seguridad que puedan tener.
Operation Rosehub, un Bug Bounty similar de la mano de Google
Google también quiere apoyar el desarrollo de los proyectos de código abierto y, por ello, hace poco dio a conocer su programa Operation Rosehub, un programa mediante el cual, 50 ingenieros voluntarios de la compañía han estado enviando tickets de seguridad a distintos proyectos de código abierto escritos en Java para ayudar a sus programadores a solucionar los fallos de seguridad de las aplicaciones, vulnerabilidades que, en algunas ocasiones, tenían más de dos años de antigüedad.
Sin duda, la iniciativa de HackerOne es mucho más completa que la de Google y va a permitir a cientos, o miles, de proyectos ser más seguros y corregir posibles fallos de seguridad que, si no fuese por esta plataforma, no se podrían solucionar debido a los problemas de financiación del software de código abierto.
¿Qué te parece la iniciativa de HackerOne?