写点什么

初创公司如何通过 Huntr(一个漏洞悬赏平台)来帮助保护开源生态系统

  • 2020-04-07
  • 本文字数:1709 字

    阅读完需:约 6 分钟

初创公司如何通过 Huntr(一个漏洞悬赏平台)来帮助保护开源生态系统

多年来,人们越来越依赖开源代码,而随着新开源技术的引入,漏洞也越来越多。“多眼”审查有助于确保开源软件的安全,并依赖于将代码暴露给尽可能多的开发人员。它的概念是,众多代码审查人员可以帮助他们发现和预防安全问题,从而避免影响使用该代码并在其基础上进行构建的组织。


尽管如此,许多人仍将目光集中在开源代码以及直接由公司赞助的代码的小子集上,从而使大多数开源生态系统的安全性降低。帮助提高开源软件安全性的方法之一,就是通过激励开源软件开发人员,查看整个生态系统中的软件包,这是 418sec 任务的一部分。


从初创企业到政府机构,我们的团队拥有与各类组织打交道的经验。我们一直在寻找更好的安全性解决方案,并意识到目前解决开源代码软件安全性问题的尝试还不够。


一般来说,人们通过三种方式尝试解决开源软件安全性问题:


  1. 开源功能请求平台:这些功能使公司可以支付开发人员费用,为特定开源项目构建新功能。

  2. 开源“防病毒”解决方案:这些是复杂的 CI/CD 工具,可扫描已知漏洞,但并不总是提供解决方案。

  3. 开源赞助计划:这些是每月订阅,支持特定开源代码,但未绑定交付成果。因此,许多组织只希望开源社区在需要时提供支持。


我们认为这些解决方案还不够,所以我们决定在巨人的肩膀上继续前进,并提出其他选择。

什么是 huntr?

huntr 于 2020 年初推出,是一个用于保护开源代码的漏洞悬赏平台,是一种帮助开源社区成员披露和修复软件安全问题并获得报酬的方法。我们与各个组织合作,获知他们依赖哪个开源程序,然后这些漏洞就变成了赏金,同时我们开始与开源社区积极合作,以解决安全问题。


开发人员可以下载代码,开发安全修复程序,并在我们批准该修复程序后,获得奖励。目前,现金奖励为 25 USD,但我们正在试验悬赏定价。您可以阅读最近的参与者博客文章“漏洞悬赏的另类视角”,从开发人员的角度了解此类体验。


除了获得悬赏之外,我们还通过社交媒体渠道和 GitHub 认可开发人员,并在每个月末,选择顶级 huntr 在博文中予以介绍。最好的漏洞猎手将有机会成为警长,这意味着他们在审查其他开发人员的漏洞修复程序时,可以获得报酬。


自从启动 huntr 以来,60% 以上的问题已得到解决,更广泛的开源社区正在采用修复程序,并且 huntr 社区正在不断壮大。

AWS 服务抵扣券如何提供帮助

Amazon Web Services (AWS) 通过 AWS Activate 为我们提供了促销服务抵扣券,AWS Activate 是专门为初创企业和早期企业家设计的一款免费程序。服务抵扣券和 AWS Activate 为我们腾出有限的资金,以回馈社区,并提供了有助于我们履行使命的工具和服务平台。


Huntr 是基于 Nuxt.js 的单页应用程序,位于 Amazon Simple Storage Service (Amazon S3) 上,可通过 Amazon CloudFront 提供给我们的用户。它与我们的 GraphQL API(由 AWS AppSync 提供支持)进行通话,该 API 允许对我们的数据服务和 AWS Lambda 函数队组进行事务处理,以帮助我们与第三方服务互动。


我们使用 Amazon Aurora ServerlessAmazon DynamoDB 满足我们所有的数据需求,提供一个迅速响应的网站,并根据需要快速读取其他工具,帮助组织扫描其代码库中的开源问题。


整个环境每天会根据用户反馈和我们的技术路线图进行迭代,并由 AWS Amplify 来编排,后者控制我们的 CI 并确保每个部署平稳运行。多亏了所有上述服务,我们才能在短短两周内完成 huntr 的初始迭代。


如何加入

除了 AWS 的支持外,我们正在寻找更多组织来赞助或加入 huntr,这不仅可以帮助保护开源生态系统,还可以确保高度依赖的开源软件包的安全。如需了解更多信息,请通过 info@418sec.com 联系我们,关注 418sec 的 Twitter,并 在 GitHub 上查找 418sec

读者可能也会喜欢

永远都是零日:致力于开源和安全

re:Invent 大会期间,Colm MacCárthaigh 提出了“永远都是零日:致力于开源和安全”,其中涵盖了为审核开源软件的安全风险而开发的技术,工具和协议,如何减轻这些风险,如何管理开放性与协作之间的棘手平衡,以及如何处理禁运安全问题和关键修复程序。


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/how-a-startup-wants-to-help-secure-the-open-source-ecosystem-with-huntr-a-bug-bounty-board/


2020-04-07 17:26864

评论

发布
暂无评论
发现更多内容

wallys/DR8072V01/IPQ8072A networking SBC supports dual 10GbE, WiFi 6

wallys-wifi6

关于TCP与UDP你应该知道的

是乃德也是Ned

7月月更

帮助文档——助客户快速了解您的产品如何使用

Baklib

2022 开放原子全球开源峰会 OpenAnolis 分论坛携干货来袭!

kk-OSC

centos 开源 龙蜥操作系统 开放原子全球开源峰会 OpenAnolis

新书上市 | 20年行业实践,一线工程师的必读之作

图灵教育

软件设计

小白 0-1 学习 app 开发,从配置到 helloword

YonBuilder低代码开发平台

跨平台 安卓 低代码开发 多端开发

工作中养成的工作习惯与给老板的汇报

松子(李博源)

大数据 个人成长 高效 高效率 工作总结

GQM 概述:构建研发效能度量体系的根本方法

思码逸研发效能

研发效能 创新方法 效能度量

观测云产品更新|新增查看器显示列多种快捷操作;新增 Pipeline 一键获取样本测试数据;新增场景自定义查看器文本分析模式等

观测云

【7.1-7.8】写作社区精彩技术博文回顾

InfoQ写作社区官方

优质创作周报

东方甄选品控翻车,如何通过智能协同的供应链建设建开启可持续商业模式?

数商云

数字化转型 供应链 企业数字化

细数下,FinClip 6月都干了啥

FinClip

公有云计费套路多?这里有一份破招详解

焱融科技

云脉芯联加入龙蜥社区,共建网络“芯”生态

OpenAnolis小助手

开源 芯片 龙蜥社区 CLA 云脉芯联

【LeetCode】单词替换Java题解

Albert

LeetCode 7月月更

Flink 引擎在快手的深度优化与生产实践

Apache Flink

大数据 flink 编程 流计算 实时计算

一文搞懂Python上下文管理器

曲鸟

Python 7月月更 上下文管理器

ACM MM 2022 | 腾讯优图11篇论文入选,含盲超分辨率算法等研究方向

科技热闻

【计算讲谈社】第五讲|不止能上路,更能做好服务:自动驾驶产品规模化的问题定义

大咖说

人工智能 自动驾驶 阿里云 科技

一体化实时HTAP数据库StoneDB,如何替换MySQL并实现近百倍分析性能的提升

StoneDB

云原生 #数据库 HTAP 大数据 开源 #开源

内部排序——交换排序

乔乔

7月月更

升哲科技入选《中国企业家》2022年度“新锐100”企业

SENSORO

这么强?!Erda MySQL Migrator:持续集成的数据库版本控制

尔达Erda

数据库 程序员 开发者 云原生 MySQL 运维

工程师世界的《原则》,Quora创始人豆瓣9.2分神作!

博文视点Broadview

搭建帮助中心,推动SaaS企业发展

Baklib

SaaS 客户服务 帮助中心 文档管理

中文拼写纠错:怎样改善模型对 multi-typo 的纠正效果?

澜舟孟子开源社区

人工智能 自然语言处理 nlp 文本生成 文本纠错

共建开源人才生态,2022 开放原子全球开源峰会聚焦 “产学研用”

kk-OSC

开源 数字化 产学研用 开放原子全球开源峰会

构建工业软件开源工具链,2022 开放原子全球开源峰会开源工业软件论坛即将开幕

kk-OSC

开源 开放原子全球开源峰会 开源工业软件

SpEL快速上手及实践

转转技术团队

Java spring 后端

走进天太|加速智能生产力落地 让机器人随处可见

科技之家

音视频通话前的网络及设备检测该如何操作?

ZEGO即构

音视频开发 通话检测

初创公司如何通过 Huntr(一个漏洞悬赏平台)来帮助保护开源生态系统_开源_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章