在過(guò)去的一年里，GitHub 已經(jīng)為參與 GitHub 漏洞懸賞計(jì)劃(bug bounty program)的研究人員發(fā)放了超過(guò) 50 萬(wàn)美元的獎(jiǎng)勵(lì)，使得 GitHub 支付的總金額超過(guò)了 150 萬(wàn)美元。這家微軟旗下的代碼托管平臺(tái)所推出的安全漏洞懸賞計(jì)劃至今已經(jīng)運(yùn)作了七年時(shí)間。

[[408323]]

以往，研究人員想要私下披露漏洞有時(shí)很困難，許多公司沒(méi)有專門的聯(lián)系人或漏洞報(bào)告的提交入口 —— 但現(xiàn)在，漏洞懸賞計(jì)劃已經(jīng)成為供應(yīng)商在確保產(chǎn)品和服務(wù)安全方面尋求第三方研究人員幫助的一種常見方式。

GitHub 表示："從 2020 年 2 月到 2021 年 2 月，我們處理的提交量比以往任何一年都高。2020 年是 GitHub 項(xiàng)目最繁忙的一年。“

在這一年里，GitHub 的公共和私有項(xiàng)目總共接收到了 1066 份錯(cuò)誤報(bào)告——私有項(xiàng)目主要專注于測(cè)試版和預(yù)發(fā)布版產(chǎn)品，GitHub 為其中 203 個(gè)漏洞的提交者頒發(fā)了 524,250 美元。自項(xiàng)目推出以來(lái)，GitHub 目前發(fā)放的獎(jiǎng)金已經(jīng)達(dá)到 1,552,004 美元。

相比 2019 年，GitHub 如今的響應(yīng)時(shí)間提高了 4 個(gè)小時(shí)，第一次響應(yīng)的平均時(shí)間目前為 13 小時(shí)。提交的材料平均在 24 小時(shí)內(nèi)得到驗(yàn)證并在內(nèi)部分流到對(duì)應(yīng)的團(tuán)隊(duì)中處理。在提交符合條件的報(bào)告后，平均 24 天內(nèi)會(huì)支付賞金。

GitHub 懸賞計(jì)劃的范圍包括眾多 GitHub 擁有的域名和項(xiàng)目，如 GitHub API、Actions、Pages 和 Gist。如果研究人員發(fā)的漏洞涉及關(guān)鍵問(wèn)題，例如代碼執(zhí)行、SQL 攻擊和登錄繞過(guò)策略等，GitHub 會(huì)為每份報(bào)告的提交者獎(jiǎng)勵(lì)最高 3 萬(wàn)美元。

與此同時(shí)，GitHub 漏洞懸賞計(jì)劃受到 Safe Harbor 條款的保護(hù)，研究人員不會(huì)因其披露漏洞或?qū)β┒催M(jìn)行研究而產(chǎn)生任何潛在的法律后果。GitHub 在 2020 年也成為 CVE 編號(hào)機(jī)構(gòu)的一員(CNA)，并開始為 GitHub 企業(yè)服務(wù)器的漏洞發(fā)布 CVE。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：GitHub 漏洞懸賞：支付賞金已超過(guò) 150 萬(wàn)美元

本文地址：https://www.oschina.net/news/148291/github-bug-bounties-payouts-past-1-5-million