在过去的一年里,GitHub 已参与 GitHub 漏洞悬赏计划(bug bounty program)研究人员发放了50多万美元的 奖励GitHub 支付的总额超过 150万美元。微软代码托管平台推出的安全漏洞奖励计划已经运行了七年。
过去,研究人员有时很难私下披露漏洞。许多公司没有提交漏洞报告的特殊联系人或入口 —— 但现在,漏洞奖励计划已经成为供应商寻求第三方研究人员帮助确保产品和服务安全的常见方式。
GitHub 表示:"从 2020年 2 月到 2021年 2 月,我们处理的提交量比以往任何一年都要高。2020年 GitHub 项目最繁忙的一年。“
在这一年里,GitHub 公共和私有项目收到了 1066 的错误报告——私人项目主要集中在测试版和预发布版产品上,GitHub 向其中 203 个漏洞的提交人颁发 524,250 美元。自项目启动以来,GitHub 目前颁发的奖金已达到 1、552、004美元。
与 2019年相比,GitHub 现在的响应时间增加了4个小时,第一次响应的平均时间是13个小时。提交的平均材料在 24 小时内得到验证,并流入相应的团队。提交合格报告后,平均 将在24 内支付奖励。
GitHub 授予计划的范围包括许多 GitHub 拥有的域名和项目,如 GitHub API、Actions、Pages 和 Gist。如果研究人员发送的漏洞涉及代码执行等关键问题,SQL 绕过策略攻击和登录,GitHub 会为每份报告的提交者奖励最高 3 万美元。
与此同时,GitHub 漏洞悬赏计划Safe Harbor 条款保护,研究人员不会因披露或研究漏洞而产生任何潜在的法律后果。GitHub 2020年也成为 CVE 编号机构成员(CNA),并开始为 GitHub 企业服务器漏洞发布 CVE。
本文转自OSCHINA
本文标题:GitHub 漏洞奖励:支付150多万美元
本文地址:https://www.oschina.net/news/148291/github-bug-bounties-payouts-past-1-5-million