Drupal looft bugbeloningen uit, dankzij EU-subsidie

Het premieprogramma van Drupal staat open voor iedereen, meldt de Nederlandse site van het open source CMS. Hoewel, daar gelden toch enkele logische uitzonderingen voor. Zo zijn Drupal-bijdragers buitengesloten, zoals project maintainers maar ook mensen die grote bijdragen aan het dit open source-project leveren. Daarnaast geldt er een buitensluiting voor het premieprogramma voor bugs in code die mensen zelf hebben gemaakt of ingediend voor opname in Drupal. Tot slot is het ook leden van het eigen securityteam niet toegestaan om mee te doen, net zoals medewerkers de over de administratie en uitbetaling van de bug bounties gaan.

In scope en buiten scope

Internationaal is dit bug bounty-programma eerder dit jaar al aangekondigd door Drupal.org. Het startschot is dan ook al gegeven. Bugs die sinds 29 januari dit jaar zijn aangemeld, komen in aanmerking voor de geldelijke beloning. De scope van het te belonen bugs-onderzoek is in Drupal 7 Core en Drupal 8 Core, en daarnaast nog de 5 procent van de meestgebruikte contrib-projecten. Voor laatstgenoemde categorie geldt wel dat die stabiele releases moeten hebben én dat ze gedekt zijn door het beleid van het Drupal security team.

Libraries van derde partijen vallen buiten de scope van het Drupal-premieprogramma, ook als ze meegeleverd worden met Drupal Core of met contributed projecten. Voor uitleg van de aanmeldingsprocedure inclusief de correcte wijze van bug-rapportage geeft de Drupal-site meer uitleg. Een van de belangrijkste punten is dat het testen van beveiligingslekken moet gebeuren op een zelf geïnstalleerde, lokale installatie. Het is expliciet níet toegestaan om tests uit te voeren op live Drupal-sites, benadrukt Drupal.

Verboden extern te testen

"Elke test op elke Drupal-site die niet door jou wordt gecontroleerd (lokaal of op je eigen server) wordt automatisch verworpen en je account wordt geblokkeerd voor verdere uitkeringen", aldus de uitleg. Overigens zijn bepaalde soorten beveiligingslekken uitgesloten van het beloningsprogramma van Drupal. Dit omvat onder meer fingerprinting op gemeenschappelijke publieke services, clickjacking en problemen die alleen via clickjacking zijn te misbruiken, en Cross-Site Request Forgery bij uitloggen (logout CSRF). Opvallend is ook het genoemde punt van "Andere uitzonderingen die niet zijn opgesomd".