在過去的一年里，GitHub 已經(jīng)為參與 GitHub 漏洞懸賞計劃(bug bounty program)的研究人員發(fā)放了超過 50 萬美元的獎勵，使得 GitHub 支付的總金額超過了 150 萬美元。這家微軟旗下的代碼托管平臺所推出的安全漏洞懸賞計劃至今已經(jīng)運作了七年時間。

[[408323]]

以往，研究人員想要私下披露漏洞有時很困難，許多公司沒有專門的聯(lián)系人或漏洞報告的提交入口 —— 但現(xiàn)在，漏洞懸賞計劃已經(jīng)成為供應商在確保產(chǎn)品和服務安全方面尋求第三方研究人員幫助的一種常見方式。

GitHub 表示："從 2020 年 2 月到 2021 年 2 月，我們處理的提交量比以往任何一年都高。2020 年是 GitHub 項目最繁忙的一年。“

在這一年里，GitHub 的公共和私有項目總共接收到了 1066 份錯誤報告——私有項目主要專注于測試版和預發(fā)布版產(chǎn)品，GitHub 為其中 203 個漏洞的提交者頒發(fā)了 524,250 美元。自項目推出以來，GitHub 目前發(fā)放的獎金已經(jīng)達到 1,552,004 美元。

相比 2019 年，GitHub 如今的響應時間提高了 4 個小時，第一次響應的平均時間目前為 13 小時。提交的材料平均在 24 小時內(nèi)得到驗證并在內(nèi)部分流到對應的團隊中處理。在提交符合條件的報告后，平均 24 天內(nèi)會支付賞金。

GitHub 懸賞計劃的范圍包括眾多 GitHub 擁有的域名和項目，如 GitHub API、Actions、Pages 和 Gist。如果研究人員發(fā)的漏洞涉及關鍵問題，例如代碼執(zhí)行、SQL 攻擊和登錄繞過策略等，GitHub 會為每份報告的提交者獎勵最高 3 萬美元。

與此同時，GitHub 漏洞懸賞計劃受到 Safe Harbor 條款的保護，研究人員不會因其披露漏洞或?qū)β┒催M行研究而產(chǎn)生任何潛在的法律后果。GitHub 在 2020 年也成為 CVE 編號機構(gòu)的一員(CNA)，并開始為 GitHub 企業(yè)服務器的漏洞發(fā)布 CVE。

本文轉(zhuǎn)自OSCHINA

本文標題：GitHub 漏洞懸賞：支付賞金已超過 150 萬美元

本文地址：https://www.oschina.net/news/148291/github-bug-bounties-payouts-past-1-5-million