HackerOne

  • HackerOne et GitHub deviennent partenaires

    Dans sa démarche d'évangélisation du DevSecOps, GitHub va intégrer les fonctions de sécurité collaborative d'HackerOne.

    GitHub vise à améliorer la sécurité du code des logiciels hébergés sur sa plateforme. Concrètement, l'intégration permettra d'assurer le suivi et la synchronisation entre les rapports de vulnérabilité critiques d'HackerOne et la plateforme GitHub. Cette collaboration marque également l’entrée de HackerOne sur la place de marché de GitHub. Les développeurs ont ainsi la possibilité de remédier aux vulnérabilités à partir dune console unifiée.

    Cette intégration est disponible pour les utilisateurs HackerOne Professional et Enterprise à partir de la boutique applicative de GitHub.

    Un rapport HackerOne dans GitHub.
  • HackerOne et le DoD autour des vulnérabilités

    Après un "bug bounty" avec l'armée américaine, HackerOne ouvre un programme pilote autour de la divulgation de vulnérabilités sur la base industrielle de défense des USA.

    Les hackers du monde entier, y compris en dehors de la communauté HackerOne, sont invités à se joindre au noveau programme pour tenter de découvrir de potentielles failles dans une base de plus de 100 actifs industriels du gouvernement américain destinés aux forces des armées. La base industrielle de la défense (DIB) des États-Unis comprend tous les fournisseurs, produits et services qui sont essentiels à la mobilisation, au déploiement et au maintien des opérations militaires. Ce programme pilote est coordonné par HackerOne et le centre de lutte contre la cybercriminalité (DC3) du ministère de la Défense des États-Unis, en partenariat avec l'agence de contre-espionnage et de sécurité de la défense (DCSA).

    Ce programme fournit les conditions dans lesquelles les vulnérabilités seront transmise et soumises. Toutes les divulgations de vulnérabilités seront utilisées dans le but de protéger la défense nationale que ce soit sur les systèmes, les réseaux ou les applications et ne viendront pas s'ajouter à des capacités ou des outils offensifs. Le programme porte sur un nombre limité d'actifs, une centaine. Les soumissions doivent suivre des règles très précises qui sont indiquées sur une page dédiée du site de HackerOne.

    Renforcer les rapports avec les communautés de chercheurs

    Ce programme a aussi pour but de mettre en valeur les travaux des chercheurs en sécurité et de rapprocher les communautés dans le domaine, que ce soit celle de HackerOne ou d'autres, du ministère de la Défense américain. Le programme est prévu pour une durée d'un an. Le programme pilote a été conçu autour dune méthodologie issue de la Carnegie Mellon University Software Engineering Institute (SEI) DIB-VDP Feasibility Study, qui fournit des recommandations fortes pour proposer les enseignements retenus par ce programme sur les matériels des industriels présents dans la base industrielle.

    Alors que le ministère des Armées en France entame sa transformation digitale, cette initiative peut facilement se transposer auprès des communautés présentes en France sur les actifs utilisés par les troupes françaises.