HackerOne, l’une des plateformes les plus utilisées pour gérer les programmes de bug bounty (recherche de bugs logiciels et récompense des utilisateurs les ayant découverts), a décidé de proposer gratuitement son service professionnel aux projets open source. La société justifie cette proposition par sa forte implication dans l’open source sur lequel s’appuie son produit et son approche, allant de pair avant une culture du développement collaboratif, ainsi qu’elle l’indique dans un billet.

Sa plateforme permet aux chercheurs en sécurité d’interagir, évaluer la gravité des bugs pour déterminer les priorités sur les rapports et gérer les récompenses. Très peu d’entreprises ont les ressources nécessaires pour bâtir et maintenir elles-mêmes des programmes de bug bounty en engageant la logistique qu’impliquent de tels efforts, encore moins les projets open source qui sont principalement financés par des dons. Dans son édition HackerOne Community, la plateforme donnera accès à tous les avantages du service professionnel, exception faite du support client dédié. Cela inclut la soumission des vulnérabilités, la coordination, la détection des doublons, les outils d’analyse et la gestion du programme de récompense. Pour ouvrir l'accès à ce service gratuit, HackerOne impose quelques prérequis. Les projets qui voudront l'utiliser doivent fournir leur code sous une licence reconnue et approuvée par l’Open Source Initiative (OSI), avoir au moins trois mois d’existence et publier leur politique de soumission des vulnérabilités. Ils doivent aussi promouvoir le programme de sécurité et répondre aux nouveaux rapports soumis dans un délai d’une semaine.

Bounty Factory, plateforme européenne de bug bounty

HackerOne est déjà utilisé par 36 projets open source parmi lesquels le langage de programmation Ruby, sa bibliothèque Rails, le forum Discourse, le framework web Python Django, la forge GitLab, le navigateur basé sur Chromium Brave ou encore les outils de suivi des développements Sentry et Phabricator. A ce jour, ces projets ont corrigé plus de 1 200 failles qui ont été signalées à travers la plateforme. Plusieurs autres projets open source passent par le programme Internet Bug Bounty, géré par HackerOne et sponsorisé par Facebook et Microsoft. Ce programme récompense des chasseurs de bugs pour des failles trouvées dans des logiciels open source tels que PHP, Python, Perl, Apache, Nginx ou OpenSSL, qui sont considérés comme des composantes critiques de l’infrastructure Internet. « Notre premier objectif chez HackerOne, c’est d’aider à rendre l’Internet plus sûr », expliquent les représentants de la société. « Dans ce cadre, nous savons que l’open source sous-tend de nombreux produits et services que nous utilisons chaque jour ; nous voulons donc assurer que les projets open source puissent disposer d’autant de support que possible en exploitant des programmes de sécurité simples, efficaces et fructueux ».

De plus en plus d’éditeurs de logiciels ont mis en place des programmes de récompense aux développeurs ayant détecté des failles dans leurs logiciels. En dehors de Facebook et Microsoft, c’est le cas de Google, de Mozilla, de Word press et d’Avast, notamment. En Europe, une plateforme a été spécifiquement développée à cet effet l’an dernier, sous le nom de Bounty Factory. Cette initiative de crowdsourcing visant à faire remonter les bugs est soutenue par les chercheurs en sécurité de la société française YesWeHack. En juillet 2016, par exemple, l’hébergeur OVH a lancé son programme de bug bounty sur cette plateforme.