У WordPress теперь появился свой официальный аккаунт на HackerOne, где исследователи в области безопасности могут раскрывать уязвимости, которые будут передаваться соответствующей команде WP. Страница проекта была приведена в профиле Automattic еще до того, как HackerOne запустили бесплатную версию сообщества для open source проектов. Теперь WordPress был переведен на свой отдельный аккаунт, который также включает и родственные проекты: BuddyPress, bbPress, GlotPress, WP-CLI и их сайты.
Команда безопасности WordPress поначалу запустила свой профиль HackerOne в приватном режиме, приглашая в него участников, присылающих уведомления о проблемах безопасности по email. Перевод профиля в публичное поле позволяет команде работать совместно над решением поступающих вопросов. Аарон Кэмпбелл, лидер команды безопасности WordPress, отметил, что новая система поможет сократить время, затрачиваемое на ответы на частые проблемы, позволив повысить эффективность работы.
«У нас порядка 40 человек, имеющих доступ к отчетам о проблемах, хотя, как и во многих других группах волонтеров, не все, как правило, производят их формирование в одно и то же время», — отметил Кэмпбелл.
Проект также запустил программу bug bounties, чтобы вознаградить участников за ответственное раскрытие проблем безопасности, и Кэмпбелл отметил, что команда выплатила более $3,700 в качестве наград семи разным участникам.
«До сих пор награды варьировались от $150 до $1,337», — говорит Кэмпбелл. – «Денежные премии начинаются от $150. Также у нас имеются некоторые поощрительные призы (толстовки) за небольшие найденные проблемы».
Кэмпбелл подтвердил, что $1,337 – это не верхний предел, и что бывают ошибки, которые могут быть оценены гораздо большими суммами.
«Премии высчитываются на основе серьезности бага для продукта или сайта, где он был выявлен (ядро WordPress, конечно же, играют большую роль, нежели, допустим, наш магазин товаров), а также на основе качестве отчета», — говорит Кэмпбелл. Automattic спонсирует выплаты премий от лица проекта WordPress.
Источник: wptavern.com