开源软件Square发布漏洞奖励计划,全文如下:
今天我们很高兴宣布为开源软件发布安全漏洞奖励计划。为了表彰安全研究社区在找漏洞方面的重要贡献,请大家帮助我们找到开源代码中的安全漏洞。
我们已发布50余种开源代码项目,其中很多都是我们基础架构中 的关键组成部分。因为有如此众多的卖家依靠Square经营扩大自己的业务,所以我们将确保代码安全放在了第一位。欢迎大家报告所有带有BUG- BOUNTY.md文件项目中的问题,包括Keywhiz、 KeywhizFs、 js-JOSE、 Go-JOSE、 OkHttp、 Squalor、Retrofit、 Okio、Wire、以及 pam_krb5_ccache。我们将陆续添加奖励项目。
如果你发现了安全漏洞,请移步至我们的HackerOne 页面(专为开源软件创立),并阅读我们的计划。虽然不要求大家提供关于漏洞报告的补丁,但如能提供将不胜感激。为了确保潜在安全问题的机密性,请勿针对所提交的项目打开pull请求修复漏洞。请将补丁附至HackerOne报告一并提交。
祝大家入侵愉快!