GitHub обновил программу bug bounty и увеличил размеры вознаграждений - «Новости»

Xakep #238. Забытый Android

• Содержание выпуска


• Подписка на «Хакер»

Разработчики GitHub отпраздновали пятилетний юбилей своей программы вознаграждения за уязвимости, расширив ее на новые продукты и увеличив размеры вознаграждений. Разработчики рассказывают, что только в 2018 году ИБ-специлистам было выплачено более 165 000 долларов по программе bug bounty (более 250 000 долларов, если прибавить к этому гранты, результаты приватных bug bounty и «живых» хакинговых мероприятий).

Теперь программа вознаграждения за уязвимости будет распространяться на все сервисы, расположенные на домене github.com, включая GitHub Education, GitHub Learning Lab, GitHub Jobs, и GitHub Desktop, а также Enterprise Cloud. Плюс уязвимости теперь можно искать среди внутренних сервисов на github.net и githubapp.com. Представители GitHub подчеркивают: «защита данных наших пользователей зависит от защищенности наших сотрудников и внутренних систем».

Также были увеличены награды за баги:

• Критическая уязвимость — 20 000 – 30 000+ долларов;


• Уязвимость высокой опасности — 10 000 – 20 000 долларов;


• Уязвимость умеренной опасности — 4000 – 10 000 долларов;


• Уязвимость низкой опасности — 617 – 2000.

Кроме того, были переработаны правила и рекомендации Legal Safe Harbor, то есть подробный свод юридических правил и рекомендаций для исследователей, обеспечивающий правовую защиту и позволяющий экспертам заработать вознаграждение за баги, а не проблемы с законом во время их поисков.