Die Securityfirma Hackerone hat mit der Community Edition ein Programm aufgelegt, mit dem Open Source Projekte ihren Code auf Schwachstellen untersuchen lassen können.
Laut der Ankündigung des amerikanischen Unternehmens, das als Bug-Bounty-Plattform als Bindeglied zwischen Firmen und Sicherheitsexperten arbeitet, steht den für das Programm berechtigten Open Source Projekten der Professional Service kostenfrei zur Verfügung. Das beinhalte Analysen, Fehlersuche, Informationen zu Schwachstellen und die Koordination des Ganzen. Hackerone nennt Ruby, Rails, Django und Gitlab als Beispiele für bereits am Programm teilnehmende Projekte.
Teilnehmende Projekte müssen einige Kriterien erfüllen, um in den Genuss einer komplett ausgestatten Instanz von Hackerone Professional zu kommen. Grundsätzlich muss das Pürojekt unter Open Source Lizenz stehen, aktiv sein und mindestens drei Monate bestehen, wobei die Altersberechnung nach Abfolge von Codebeiträgen und Releases erfolgt. Teilnehmer müssen zudem eine Security-Policy erstellen und, als Gegengabe, einen Link auf den Hackerone-Service setzen. Erforderlich ist auch eine Reaktion auf die jeweiligen Sicherheitsreports, die innerhalb einer Woche erfolgen muss. Die Ankündigung von Hackerone nennt alle Details.
