Node.js宣布不再提供抓漏獎金

Node.js發布公告指出，由於IBB暫停，他們向通報漏洞的人士發出獎賞的資金來源因此中斷，由於Node.js是由自願參與的人士發起的專案，未有專屬預算能供應漏洞懸賞使用，因此在沒有其他外部經濟援助的情況下，他們將不會為漏洞通報者提供獎勵。

雖然不再提供獎金，不過Node.js開發工程團隊強調現有的漏洞通報流程並未改變，他們還是歡迎研究人員通過HackerOne通報漏洞，並承諾仍以相同程度的重視維護Node.js安全，他們仍會優先處理，漏洞揭露政策、回應時間，以及發布修補程式的流程並未調整。

IBB自2012年開始運作，背後由多家軟體公司提供漏洞懸賞獎金，目前已發出超過150萬美元獎勵通報者。IBB有80%的資金用於發現新漏洞，其餘20%用於支援漏洞修補工作。

Node.js對於IBB的金援依賴，在開源資安領域相當普遍，許多重要專案未有專門的漏洞懸賞預算，而是像Node.js一樣依賴外部資金。

針對HackerOne與Node.js近日的公告，資安公司Socket指出，在IBB停止金援之前，Node.js已經不斷調整漏洞懸賞專案的運作方式，導入更嚴格的通報要求，原因是提供獎金的做法會出現大量無效的通報內容，開發工程團隊必須花費大量心力過濾，對該專案的志工造成了嚴重的負擔。

值得留意的是，Node.js並非唯一因為AI抓漏而受到衝擊的開源專案。例如，今年1月Curl宣布終止漏洞懸賞專案，原因是AI生成的漏洞通報過於浮濫。