Node.js met en pause son programme de bug bounty
Le programme de bug bounty de Node.js, actif depuis 2016 via l'IBB, est suspendu faute de financement. Les signalements HackerOne restent ouverts, sans récompense.
Publié le par Emmanuel LASTRA 1 min de lecture
Le projet Node.js vient d’annoncer mettre en pause son programme de bug bounty, actif depuis 2016 via l’Internet Bug Bounty (IBB). En cause, la mise en pause du programme IBB lui-même, une décision prise par HackerOne/IBB, pas par le projet Node.js.
Étant un projet open source bénévole, Node.js ne dispose pas d’un budget propre pour prendre le relais.
Le signalement des vulnérabilités reste ouvert via HackerOne, mais sans récompense financière pour le moment.
Un rappel que même des projets critiques pour l’écosystème web peuvent reposer sur des modèles de financement fragiles, en décalage total avec leur importance stratégique. La reprise du programme est envisagée si un financement dédié se dégage, les organisations intéressées peuvent contacter l’OpenJS Foundation.