GitHub Security Bug Bounty вехи


GitHub недавно перечислил 1 000 000 долларов в качестве общих выплат исследователям с момента перевода своей программы на HackerOne в 2016 году. Более половины его общих наград было получено только за последний год, и общая сумма вознаграждений по его программам составила почти 590 000 долларов.

Прошло уже более шести лет с тех пор, как GitHub инициировал свою программу Security Bug Bounty, которая предлагает вознаграждение в размере 30 000 долларов США или более за критические уязвимости. В прошлом году количество заявок увеличилось на 40%, и он гордится своим быстрым временем отклика — среднее время отклика составляет 17 часов.

В своем недавнем сообщении в блоге Брайан Энглин пишет:

Одна из моих любимых частей работы над программой bug bounty — видеть замечательные материалы, которые мы получаем от сообщества. Многие из лучших представленных материалов демонстрируют понимание GitHub и наших технологий, которое не уступает нашим собственным инженерам. Мы предложили очень конкурентоспособные награды, чтобы привлечь этих талантливых людей и дать им стимул тратить время на изучение нашей кодовой базы. Сообщество в 2019 году не разочаровало.

Далее он описывает два конкретных эксплойта: обход потока OAuth с использованием межсайтовых запросов HEAD и удаленное выполнение кода GitHub.com посредством внедрения команд вместе с ответом GitHub на них.

Как мы сообщали, когда они произошли, GitHub в 2019 году сделал заметные приобретения, связанные с безопасностью, включая Dependabot и Semmie. Ссылаясь на их влияние на программу вознаграждения за ошибки, сообщение в блоге объясняет:

Автоматические обновления безопасности (ранее Dependabot) добавили лучший способ отслеживания уязвимостей в зависимостях, поскольку он автоматически открывает новые запросы на вытягивание, обновляя версию зависимости, когда обнаруживает новое исправление безопасности.

Инструмент LGTM компании Semmle стал значительным дополнением к нашему набору инструментов безопасности, таким как Dependabot и Maintainer Security Advisories. LGTM позволяет нашим пользователям сканировать код на предмет потенциальных проблем безопасности при каждом запросе на вытягивание.

GitHub снова расширил сферу действия программы Security Bug Bounty, чтобы учесть ее последние важные новые функции. GitHub для мобильных устройств, который, как мы сообщали, теперь доступен для Android и iOS, был первым представлением GirHub в App Store / Google Play, представил новые проблемы безопасности, как и GitHub Actions, один из крупнейших выпусков GitHub, который принес с собой целые классы новых защитные угловые шкафы.

Программа уже выплатила вознаграждение в размере более 20 000 долларов США за уязвимости, влияющие на продукты в этой расширенной области, и объем программы будет продолжать расширяться по мере роста GitHub.


Добавить комментарий