GitHub 漏洞賞金：總支出突破 150 萬美元大關

過去一年裡，參與 GitHub 漏洞賞金計劃的研究人員獲得了超過 50 萬美元的獎勵，使總支出超過 150 萬美元。

這家微軟旗下的供應商已經運營了七年的 GitHub 安全漏洞賞金計劃。

Bug 賞金計劃現在是供應商在保護產品和服務方面尋求第三方研究人員幫助的常用方式。過去幾年，有時很難私下披露錯誤，而且許多公司沒有專門的聯繫人或漏洞報告門戶；但現在，經常提供信貸和財務獎勵。

該供應商表示，2020 年是 GitHub 計劃“有史以來最繁忙的一年”。

一年來，GitHub 的公共和私有程序共提交了 1,066 份錯誤報告——後者專注於測試版和預發佈產品，203 個漏洞獲得了 524,250 美元的獎勵。自 2016 年 GitHub 在 HackerOne 上啟動其公共計劃以來，獎勵現已達到 1,552,004 美元。

GitHub 計劃的範圍包括許多 GitHub 擁有的域和目標，例如 GitHub API、Actions、Pages 和 Gist。關鍵問題，包括代碼執行、SQL 攻擊和登錄繞過策略，每份報告可為研究人員帶來高達 30,000 美元的收入。

GitHub 還根據安全港原則運作，其中遵守負責任的披露政策的漏洞賞金獵人不受其研究的任何潛在法律後果的影響。