Cloudflare begint een publiek bugbountyprogramma. Het bedrijf beloont securityonderzoekers via HackerOne met uitkeringen van tussen de 100 en 3000 dollar voor het vinden van kwetsbaarheden in het platform.
Het nieuwe bugbountyprogramma is grotendeels hetzelfde als het private programma dat Cloudflare sinds 2018 aanbood. Het verschil is vooral dat het programma voortaan wordt uitgebaat via HackerOne. Cloudflare schrijft in een blogpost dat het de komende tijd meer documentatie wil uitbrengen en het programma verder wil professionaliseren, maar het programma zal niet fundamenteel veranderen. Met het publieke bugbountyprogramma kunnen beveiligingsonderzoekers alle kwetsbaarheden melden in ieder Cloudflare-product.
Daarbij maakt Cloudflare wel onderscheid tussen primaire en secundaire software, en een derde categorie die het 'anders' noemt. Primaire doelen zijn bijvoorbeeld de 1.1.1.1-resolver of Pages, en onder de secundaire doelwitten vallen api's. Ook de website of openbare repo's op GitHub vallen binnen de scope, maar dan onder de 'anders'-categorie. De beloningen lopen uiteen van 100 dollar voor een lage score tot 3000 dollar voor een Critical-bug in een primair doelwit.
Cloudflare begon in 2014 met een responsibledisclosurebeleid, en stapte in 2018 over op een gesloten bugbountyprogramma met beloningen en afgebakende scopes. Sindsdien zegt het bedrijf 211.512 dollar of zo'n 187.000 euro te hebben uitgekeerd aan bugbounties. Bijna de helft daarvan werd in 2021 uitgedeeld. Sinds het officiële gesloten programma van start ging zijn er 430 meldingen binnengekomen, waarvan er 292 leidden tot een bugfix en bijbehorende beloning. De bestverdienende deelnemer van het programma verdiende in totaal 54.800 dollar.