Компания Microsoft сообщила о временных изменениях в bug bounty программе Online Services. В период с 1 марта по 1 мая 2017 года выплаты за уязвимости, обнаруженные в Microsoft Office 365 Portal и Microsoft Exchange Online, будут удвоены. Так, если обычная вилка вознаграждений варьируется от $500 до $5 000 за уязвимость, то в ближайшие месяцы эти суммы будут равняться $1000 и $30 000, соответственно. Двойное вознаграждение будет актуально для багов на следующих шести доменах: portal.office.com, outlook.office365.com, outlook.office.com, *.outlook.com и outlook.com. Более подробно об условиях программы и двойных выплатах можно почитать на официальном сайте.
Еще одна приятная для разработчиков и исследователей новость пришла из стана компании HackerOne, владеющей одноименной bug bounty платформой. Представители компании анонсировали, что опенсорсные проекты смогут бесплатно размещать свои bug bounty программы на базе HackerOne. Стоит отметить, что свою комиссию (20%) с вознаграждений за обнаруженные баги HackerOne все же будет удерживать.
Новое предложение получило название HackerOne Community Edition, и оно практически идентично коммерческому сервису компании, HackerOne Professional Edition, которым пользуются ведущие IT-компании мира, включая Twitter, Dropbox, Adobe, Yahoo, Uber, GitHub, Snapchat и так далее.
Чтобы воспользоваться услугами HackerOne, опенсорсный проект должен отвечать ряду достаточно простых требований. Возраст проекта должен насчитывать не менее трех месяцев, и он должен быть активен. Возраст и активность будут определяться по вышедшим релизам или обновлениям в коде. Также проект должен использовать подходящую для Open Source Initiative (OSI) лицензию. Кроме того, в корень проекта придется добавить файл SECURITY.md, а на домашней странице разместить ссылку на HackerOne. Стоит учесть, что уже после регистрации и одобрения аккаунта придется отвечать на security-заявки в течение недели, таково последнее условие.
Новая инициатива начала работу со 2 марта 2017 года. В своем послании к опенсорсному сообществу представители HackerOne напомнили, что их bug bounty платформой уже пользуются такие открытые проекты, как Django, Discourse, Ruby, Ruby on Rails, Brave, GitLab и Sentry.