GitHub 去年为漏洞支付了 16.6 万美元赏金
据外媒报道,去年,GitHub 向安全研究人员支付了总计 166495 美元的奖励,针对 GitHub 这个为期四年的“漏洞赏金”项目,安全研究人员会上报自己发现的系统问题和漏洞。2016 年,GitHub 一共支付了81.7万美元,而去年的支出总额显然已经翻了一倍多,几乎相当于前三年的总支出(17.7万美元)。在 2014 和 2015 两年时间里,他们一共支付了95.3万美元的奖金。
2017 年,GitHub 一共收到了 840 份漏洞报告意见书,但是最终解决问题并获得奖金的比例只有15%(约121份)。2016年,GitHub 共收到了 795 份漏洞报告意见书,最终获得奖励的只有 73 份,而其中只有 48 份有效报告最终被罗列在了漏洞赏金项目的主页上。
有效报告的数量上升推动了总支出的增加,也导致了 GitHub 在去年十月重新评估其支付结构。结果就是,奖金增加了一倍,其中最低奖金为 555 美元,最高奖金高达 20000 美元。
GitHub 的 Greg Ose 指出,随着参与的项目、计划和研究人员规模不断增加,去年是迄今为止支付赏金最多的一年。不仅如此,他们还把 GitHub Enterprise 引入到漏洞赏金项目之中,让研究人员能够在 GitHub.com 平台上一些未公开的、或是特定于某个企业部署的领域里找到漏洞。Ose说道:
“去年年初,很多漏洞报告涉及到了我们的企业认证方法,这也促使我们不得不在内部关注这个问题,而且我们也在研究如何让研究人员也关注这个功能。”
此外,Ose还表示,GitHub 已经发布了首个研究人员捐赠,也是他们长期以来关注的一项举措。这项工作会为挖掘应用程序特定功能或领域的研究人员支付固定金额。当然,其他任何发现漏洞的人也能够通过漏洞赏金项目获得奖励。
去年,GitHub 还推出了私人漏洞补丁服务,让用户能够限制生产漏洞的影响范围。不仅如此,他们还进行了内部改进,以更有效进行漏洞分类和修复提交,并计划在今年进一步完善流程。
现在,GitHub 希望进一步扩大 2017 年所取得成绩,推出更多私人奖励和研究补助金,以便在代码公开发布之前及之后引起大家的关注。该公司还计划在今年晚些时候,推出额外的奖励计划。Ose总结道:
“鉴于漏洞赏金项目取得了成功,我们现在正考虑如何扩大其范围,为我们的生产服务提供更多帮助,同时保护整个GitHub生态系统。我们很期待下一步工作,并且会在今年对提交的漏洞内容进行分类和修正。”