0
雷鋒網消息,美國時間 3 月 16 日,據外媒報道,去年,GitHub 向安全研究人員支付了總計 166495 美元的獎勵,針對 GitHub 這個為期四年的“漏洞賞金”項目,安全研究人員會上報自己發現的系統問題和漏洞。
2016 年,GitHub 一共支付了8.17萬美元,而去年的支出總額顯然已經翻了一倍多。在 2014 和 2015 兩年時間里,他們一共支付了9.53萬美元的獎金。
雷鋒網了解到,2017 年,GitHub 一共收到了 840 份漏洞報告意見書,但是最終解決問題并獲得獎金的比例只有15%(約121份)。2016年,GitHub 共收到了 795 份漏洞報告意見書,最終獲得獎勵的只有 73 份,而其中只有 48 份有效報告最終被羅列在了漏洞賞金項目的主頁上。
有效報告的數量上升推動了總支出的增加,也導致了 GitHub 在去年十月重新評估其支付結構。結果就是,獎金增加了一倍,其中最低獎金為 555 美元,最高獎金高達 20000 美元。
GitHub 的 Greg Ose 指出,隨著參與的項目、計劃和研究人員規模不斷增加,去年是迄今為止支付賞金最多的一年。不僅如此,他們還把 GitHub Enterprise 引入到漏洞賞金項目之中,讓研究人員能夠在 GitHub.com 平臺上一些未公開的、或是特定于某個企業部署的領域里找到漏洞。Ose說道:
“去年年初,很多漏洞報告涉及到了我們的企業認證方法,這也促使我們不得不在內部關注這個問題,而且我們也在研究如何讓研究人員也關注這個功能。”
此外,Ose還表示,GitHub 已經發布了首個研究人員捐贈,也是他們長期以來關注的一項舉措。這項工作會為挖掘應用程序特定功能或領域的研究人員支付固定金額。當然,其他任何發現漏洞的人也能夠通過漏洞賞金項目獲得獎勵。
去年,GitHub 還推出了私人漏洞補丁服務,讓用戶能夠限制生產漏洞的影響范圍。不僅如此,他們還進行了內部改進,以更有效進行漏洞分類和修復提交,并計劃在今年進一步完善流程。
現在,GitHub 希望進一步擴大 2017 年所取得成績,推出更多私人獎勵和研究補助金,以便在代碼公開發布之前及之后引起大家的關注。該公司還計劃在今年晚些時候,推出額外的獎勵計劃。Ose總結道:
“鑒于漏洞賞金項目取得了成功,我們現在正考慮如何擴大其范圍,為我們的生產服務提供更多幫助,同時保護整個GitHub生態系統。我們很期待下一步工作,并且會在今年對提交的漏洞內容進行分類和修正。”
雷鋒網VIA securityweek
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
