Программе вознаграждений за ошибки безопасности GitHub уже пять лет, и она снова была обновлена с лучшими вознаграждениями и более широкими полномочиями. GitHub, теперь принадлежащая Microsoft, также добавил в свою политику условия Legal Safe Harbor, чтобы предложить исследователям лучшую юридическую защиту.
Программа вознаграждений GitHub направлена на поиск ошибок в коде, размещенном на сайте GitHub, и в прошлом году GitHub выплатил 165 000 долларов исследователям, обнаружившим слабые места в системе безопасности. Компания также использовала гранты для исследователей, частные программы поощрения ошибок и мероприятие по хакерству в реальном времени, выплатив исследователям в общей сложности 250 000 долларов. Часть денег пошла исследователям, которые обнаружили ошибки безопасности в API-интерфейсах GitHub REST и GraphQL.
GitHub также принял участие в мероприятии HackerOne по хакерству H1-702 в Лас-Вегасе, где 75 ведущих исследователей из HackerOne сосредоточились на продуктах GitHub в течение одного вечера живого взлома. В результате было выплачено почти 75 000 долларов за 43 уязвимости, включая одну уязвимость критической степени серьезности в GitHub Enterprise Server.
Одно из главных изменений в этом году — это юридическая поддержка безопасной гавани. Это предназначено для защиты участников программы от риска судебного преследования. Программа теперь включает твердое обязательство, что GitHub не будет преследовать гражданские или уголовные иски или поддерживать какое-либо судебное преследование или гражданские иски со стороны других в рамках исследовательской деятельности программы вознаграждений участников. GitHub также заявляет, что сделает все возможное, чтобы защитить участников от юридических рисков со стороны третьих лиц, которые не будут соблюдать такой же уровень защиты.
Благодаря расширенному охвату больше продуктов и услуг GitHub могут получать вознаграждение за обнаруженные уязвимости безопасности. В число нововведений этого года входят GitHub Education, GitHub Learning Lab, GitHub Jobs, приложение GitHub Desktop и GitHub Enterprise Cloud.
Потенциальные награды также больше. GitHub говорит, что это частично соответствует сумме вознаграждения, предлагаемой другими компаниями, предлагающими аналогичные программы, а частично в знак признания того, что более серьезные уязвимости в продуктах GitHub становятся все более трудными для исследователей. На основных новых уровнях появляются критические ошибки на сумму от 20 000 долларов, но без верхнего предела максимальной награды. Рекомендуемая верхняя сумма в 30 000 долларов — это общий вероятный предел, но GitHub оставляет за собой право вознаграждать значительно больше за действительно передовые исследования.