據外媒報道(dào),去年,GitHub 向安全研究人(rén)員支付了總計(jì) 166495 美元的獎勵,針對 GitHub 這個(gè)為(wèi)期四年的“漏洞賞金”項目,安全研究人(rén)員會(huì)上(shàng)報自己發現的系統問題和(hé)漏洞。2016 年,GitHub 一共支付了81.7萬美元,而去年的支出總額顯然已經翻了一倍多(duō),幾乎相當于前三年的總支出(17.7萬美元)。在 2014 和(hé) 2015 兩年時(shí)間(jiān)裏,他們一共支付了95.3萬美元的獎金。
2017 年,GitHub 一共收到了 840 份漏洞報告意見書(shū),但(dàn)是最終解決問題并獲得(de)獎金的比例隻有(yǒu)15%(約121份)。2016年,GitHub 共收到了 795 份漏洞報告意見書(shū),最終獲得(de)獎勵的隻有(yǒu) 73 份,而其中隻有(yǒu) 48 份有(yǒu)效報告最終被羅列在了漏洞賞金項目的主頁上(shàng)。
有(yǒu)效報告的數(shù)量上(shàng)升推動了總支出的增加,也導緻了 GitHub 在去年十月重新評估其支付結構。結果就是,獎金增加了一倍,其中最低(dī)獎金為(wèi) 555 美元,最高(gāo)獎金高(gāo)達 20000 美元。
GitHub 的 Greg Ose 指出,随着參與的項目、計(jì)劃和(hé)研究人(rén)員規模不斷增加,去年是迄今為(wèi)止支付賞金最多(duō)的一年。不僅如此,他們還(hái)把 GitHub Enterprise 引入到漏洞賞金項目之中,讓研究人(rén)員能夠在 GitHub.com 平台上(shàng)一些(xiē)未公開(kāi)的、或是特定于某個(gè)企業部署的領域裏找到漏洞。Ose說道(dào):
“去年年初,很(hěn)多(duō)漏洞報告涉及到了我們的企業認證方法,這也促使我們不得(de)不在內(nèi)部關注這個(gè)問題,而且我們也在研究如何讓研究人(rén)員也關注這個(gè)功能。”
此外,Ose還(hái)表示,GitHub 已經發布了首個(gè)研究人(rén)員捐贈,也是他們長期以來(lái)關注的一項舉措。這項工作(zuò)會(huì)為(wèi)挖掘應用程序特定功能或領域的研究人(rén)員支付固定金額。當然,其他任何發現漏洞的人(rén)也能夠通(tōng)過漏洞賞金項目獲得(de)獎勵。
去年,GitHub 還(hái)推出了私人(rén)漏洞補丁服務,讓用戶能夠限制(zhì)生(shēng)産漏洞的影(yǐng)響範圍。不僅如此,他們還(hái)進行(xíng)了內(nèi)部改進,以更有(yǒu)效進行(xíng)漏洞分類和(hé)修複提交,并計(jì)劃在今年進一步完善流程。
現在,GitHub 希望進一步擴大(dà) 2017 年所取得(de)成績,推出更多(duō)私人(rén)獎勵和(hé)研究補助金,以便在代碼公開(kāi)發布之前及之後引起大(dà)家(jiā)的關注。該公司還(hái)計(jì)劃在今年晚些(xiē)時(shí)候,推出額外的獎勵計(jì)劃。Ose總結道(dào):
“鑒于漏洞賞金項目取得(de)了成功,我們現在正考慮如何擴大(dà)其範圍,為(wèi)我們的生(shēng)産服務提供更多(duō)幫助,同時(shí)保護整個(gè)GitHub生(shēng)态系統。我們很(hěn)期待下一步工作(zuò),并且會(huì)在今年對提交的漏洞內(nèi)容進行(xíng)分類和(hé)修正。”
發表評論 取消回複