La società americana Cloudflare, specializzata in infrastruttura web e sicurezza dei siti, ha annunciato in un blog il lancio di un programma di ricerca di bug aperto.

Gli utenti possono inviare segnalazioni di bug tramite il proprio profilo Cloudflare su HackerOne. Anche nella pagina per gli sviluppatori è disponibile documentazione API, informazioni su come lavorare con i vari servizi interni di Cloudflare, materiali di formazione, una sandbox e un forum.

I premi vengono assegnati in base al rating di valutazione della vulnerabilità CVSSv3, l'elenco è presentato di seguito:

Pericolo

Critico (9,0 - 10,0)

Alto (7,0 - 8,9)

Medio (4,0 - 6,9)

Basso (0,1 - 3,9)

Priorità alta

$ 3000

$ 1000

$ 500

$ 250

Bassa priorità

$ 2700

$ 750

$ 350

$ 200

Altro

$ 2100

$ 500

$ 200

$ 100

Questo è il terzo lancio del programma di ricompense dei bug di Cloudflare. Il primo è arrivato nel 2014. Nel corso dell'iniziativa la società ha ricevuto 1.197 segnalazioni, ma solo il 13% del numero totale delle richieste si è rivelato attendibile. Cloudflare non ha fornito dettagli sul funzionamento dei suoi servizi e i ricercatori non sono stati in grado di distinguere l'errore dallo scenario pianificato. Inoltre, nessun denaro è stato pagato nell'ambito del programma: gli appassionati hanno ricevuto in regalo magliette di marca.

Entro il 2018, Cloudflare aveva costruito una base di conoscenza dei suoi prodotti e lanciato un programma privato di ricerca dei bug. Entro la metà di gennaio 2022, la società aveva pagato $ 211.000 in premi per 292 su 430 rapporti.

Ora la taglia dei bug è aperta a tutti e i rappresentanti di Cloudflare hanno promesso di integrare costantemente la base di conoscenza con nuove informazioni.

bbabo.Net