Det amerikanska företaget Cloudflare, specialiserat på webbinfrastruktur och webbplatssäkerhet, meddelade i en blogg om lanseringen av ett öppet program för buggsökning.
Användare kan skicka in felrapporter via sin Cloudflare-profil på HackerOne. På sidan för utvecklare finns även API-dokumentation, information om att arbeta med olika interna Cloudflare-tjänster, utbildningsmaterial, en sandlåda och ett forum.
Priserna delas ut enligt CVSSv3 sårbarhetsbedömning, listan presenteras nedan:
Fara
Kritisk (9,0 - 10,0)
Hög (7,0 - 8,9)
Medium (4,0 - 6,9)
Låg (0,1–3,9)
Hög prioritet
3 000 USD
$1000
500 USD
250 USD
Låg prioritet
$2700
750 USD
$350
200 USD
Övrig
$2100
500 USD
200 USD
100 USD
Detta är den tredje lanseringen av Cloudflares bug-bounty-program. Den första kom 2014. Under initiativets existens fick företaget 1 197 rapporter, men endast 13 % av det totala antalet förfrågningar visade sig vara tillförlitliga. Cloudflare lämnade inga detaljer om driften av sina tjänster, och forskarna kunde inte skilja felet från det planerade scenariot. Dessutom betalades inga pengar under programmet - entusiaster fick märkes-T-shirts i present.
2018 hade Cloudflare byggt upp en kunskapsbas av sina produkter och lanserat ett privat program för att hitta fel. I mitten av januari 2022 hade företaget betalat ut 211 000 USD i belöningar för 292 av 430 rapporter.
Nu är buggpremien öppen för alla och Cloudflare-representanter har lovat att ständigt komplettera kunskapsbasen med ny information.
bbabo.Net