GitHub 漏洞赏金:总支出突破 150 万美元大关

Lasted 2021-06-28 22:53:02

过去一年里,参与 GitHub 漏洞赏金计划的研究人员获得了超过 50 万美元的奖励,使总支出超过 150 万美元。

这家微软旗下的供应商已经运营了七年的 GitHub 安全漏洞赏金计划。

Bug 赏金计划现在是供应商在保护产品和服务方面寻求第三方研究人员帮助的常用方式。过去几年,有时很难私下披露错误,而且许多公司没有专门的联系人或漏洞报告门户;但现在,经常提供信贷和财务奖励。

该供应商表示,2020 年是 GitHub 计划“有史以来最繁忙的一年”。

一年来,GitHub 的公共和私有程序共提交了 1,066 份错误报告——后者专注于测试版和预发布产品,203 个漏洞获得了 524,250 美元的奖励。自 2016 年 GitHub 在 HackerOne 上启动其公共计划以来,奖励现已达到 1,552,004 美元。

GitHub 计划的范围包括许多 GitHub 拥有的域和目标,例如 GitHub API、Actions、Pages 和 Gist。关键问题,包括代码执行、SQL 攻击和登录绕过策略,每份报告可为研究人员带来高达 30,000 美元的收入。

GitHub 还根据安全港原则运作,其中遵守负责任的披露政策的漏洞赏金猎人不受其研究的任何潜在法律后果的影响。