Программа вознаграждений за ошибки GitHub расширилась по объему и вознаграждению


GitHub недавно отпраздновал четвертый год своей программы Security Bug Bounty и сообщил, что в 2017 году наблюдался рост участия исследователей, программных инициатив и выплаченных вознаграждений.

Как мы сообщали в октябре прошлого года, минимальная выплата GitHub сейчас составляет 555 долларов, и это, похоже, окупается с точки зрения привлечения к программе исследователей безопасности.

В блоге GitHub Грег Осе сообщает, что в 2017 году в программу поступило 840 заявок. Из этих представленных материалов Github обработал и наградил в общей сложности 121 отчет со средней выплатой в размере 1376 долларов США плюс добыча. Для сравнения, в 2016 году было выполнено 795 отчетов, из которых 48 были решены, поэтому количество достоверных отчетов увеличилось с 6% до почти 15% в год. год.

Общая сумма выплат по программе достигла 95 300 долларов к концу 2016 года и увеличилась до 166 495 долларов в 2017 году. Сейчас она составляет 219 025 долларов с максимальной выплатой вознаграждения в диапазоне от 3000 до 12 тысяч долларов, что намного ниже нового максимума в 20 тысяч долларов, введенного в октябре.

GitHub Enterprise был включен в программу Bug Bounty, чтобы дать исследователям безопасности больше целей для исследования. Кроме того, когда в марте 2017 года был запущен GitHub для бизнеса, GitHub развернул частные вознаграждения за обнаружение ошибок.

По словам Осе :.

Через частную программу на HackerOne мы связались со всеми исследователями, которые ранее участвовали в нашей программе, и предоставили им доступ к этой функции до ее публичного запуска. Это добавило к нашим внутренним оценкам безопасности перед отправкой с обзором внешних исследователей и помогло нам выявлять и устранять проблемы до того, как они станут общедоступными. Благодаря дополнительному обзору мы смогли ограничить влияние уязвимостей в производственной среде, а также предоставить свежий код и функциональные возможности для исследователей.

Еще одна инициатива, опробованная в 2017 году, заключалась в предоставлении грантов для исследователей — шаг, вдохновленный Google, который запустил гранты на исследования уязвимостей в 2015 году. Осэ объясняет:

Основная посылка заключается в том, что мы платим фиксированную сумму исследователю, чтобы он изучил конкретную функцию или область приложения. Помимо фиксированного платежа за грант, любые выявленные уязвимости также будут выплачиваться через программу Bug Bounty. В начале года мы нашли исследователя, специализирующегося на оценке сложных методов аутентификации на предприятии. Мы обратились и запустили наш первый исследовательский грант. Мы были очень довольны результатами. Это обеспечило глубокую экспертизу и обзор, который стоил дополнительного денежного поощрения.

Забегая вперед, в течение 2018 года GitHub планирует запустить больше частных баунти и исследовательских грантов, чтобы сосредоточиться на конкретных функциях, и сообщает, что позже в этом году он объявит о дополнительных рекламных акциях, чтобы и дальше поддерживать интерес исследователей и их желание участвовать.


Добавить комментарий