在过去的一年里,GitHub 已经为参与 GitHub 漏洞悬赏计划(bug bounty program)的研究人员发放了超过 50 万美元的奖励,使得 GitHub 支付的总金额超过了 150 万美元。这家微软旗下的代码托管平台所推出的安全漏洞悬赏计划至今已经运作了七年时间。
以往,研究人员想要私下披露漏洞有时很困难,许多公司没有专门的联系人或漏洞报告的提交入口 —— 但现在,漏洞悬赏计划已经成为供应商在确保产品和服务安全方面寻求第三方研究人员帮助的一种常见方式。
GitHub 表示:"从 2020 年 2 月到 2021 年 2 月,我们处理的提交量比以往任何一年都高。2020 年是 GitHub 项目最繁忙的一年。“
在这一年里,GitHub 的公共和私有项目总共接收到了 1066 份错误报告——私有项目主要专注于测试版和预发布版产品,GitHub 为其中 203 个漏洞的提交者颁发了 524,250 美元。自项目推出以来,GitHub 目前发放的奖金已经达到 1,552,004 美元。
相比 2019 年,GitHub 如今的响应时间提高了 4 个小时,第一次响应的平均时间目前为 13 小时。提交的材料平均在 24 小时内得到验证并在内部分流到对应的团队中处理。在提交符合条件的报告后,平均 24 天内会支付赏金。
GitHub 悬赏计划的范围包括众多 GitHub 拥有的域名和项目,如 GitHub API、Actions、Pages 和 Gist。如果研究人员发的漏洞涉及关键问题,例如代码执行、SQL 攻击和登录绕过策略等,GitHub 会为每份报告的提交者奖励最高 3 万美元。
与此同时,GitHub 漏洞悬赏计划受到 Safe Harbor 条款的保护,研究人员不会因其披露漏洞或对漏洞进行研究而产生任何潜在的法律后果。GitHub 在 2020 年也成为 CVE 编号机构的一员(CNA),并开始为 GitHub 企业服务器的漏洞发布 CVE。