До $20 тысяч за уязвимость. GitHub расширил программу по поиску багов и поднял ставки

20 февраля 2019, 10:31
До $20 тысяч за уязвимость. GitHub расширил программу по поиску багов и поднял ставки

GitHub обновил программу bug bounty, которой в этом году исполнилось пять лет, а также увеличил награду программистам, нашедшим проблемы в сервисе, пишет VentureBeat.

Как и прежде, по степени серьёзности баги делятся на 4 группы. За критическую уязвимость исследователи могут получить от $20 до $30+ тысяч; за баг, чья опасность оценена как «высокая» — от $10 тысяч до $20 тысяч, как «средняя» — от $4 тысяч до $10 тысяч, а наименее опасные уязвимости принесут баг-хантерам от $617 до $2 тысяч.

К слову, верхнего порога выплат на GitHub больше нет. «+» после $30 тысяч указывает на то, что сервис согласен заплатить гораздо больше за «действительно стоящее исследование».

Кроме того, теперь программа охватывает все сервисы платформы с доменом github.com (GitHub Education, GitHub Learning Lab, GitHub Jobs и GitHub Desktop), Enterprise Cloud, а также внутренние домены githubapp.com и github.net. Наконец, GitHub дополнил условия Legal Safe Harbor, касающиеся защиты исследователей, которые в целях поиска багов нарушили отдельные правила платформы или третьих лиц.

В 2018 году GitHub выплатил исследователям безопасности свыше $250 тысяч в рамках открытой и закрытых программ по поиску уязвимостей, исследовательских грантов и специального мероприятия для хакеров. $165 тысяч из этой суммы выплачено через открытую программу.

GitHub заявил, что постоянно переоценивает размеры вознаграждений с оглядкой на другие компании в отрасли, а также что поиск более критических уязвимостей отнимает у исследователей больше усилий — и они должны быть достойно вознаграждены.

подписка на главные новости 
недели != спам
# ит-новости
# анонсы событий
# вакансии
Обсуждение