在过去的一年里,GitHub已经向参与GitHubBug赏金计划的研究人员奖励了超过50万美元,使得GitHub的支付总额超过了150万美元。微软自有代码托管平台推出的漏洞赏金计划已经运行了七年。过去,研究人员有时很难私下披露漏洞,而且许多公司没有专门的联系点或提交错误报告的入口——但现在,错误赏金计划已成为供应商寻求的一种方式第三方研究人员以保护他们的产品和服务。一种常见的帮助方式。GitHub表示:“从2020年2月到2021年2月,我们处理的提交比以往任何时候都多。2020年是GitHub项目最繁忙的一年。”在这一年中,GitHub的公共和私人项目共收到1,066份错误报告——主要集中在测试版和预发布产品上——为此GitHub向203个错误的提交者奖励了524,250美元。自该项目启动以来,GitHub现已奖励1,552,004美元。与2019年相比,今天GitHub的响应时间提升了4小时,首次响应的平均时间现在为13小时。提交的内容平均在24小时内得到验证并在内部发送给相应的团队。在提交符合条件的报告后平均24天内支付奖金。GitHub赏金计划的范围包括许多GitHub拥有的域和项目,例如GitHubAPI、Actions、Pages和Gist。GitHub奖励提交者每份报告的漏洞研究人员报告解决代码执行、SQL攻击和登录绕过策略等关键问题的报告高达30,000美元。同时,GitHub漏洞赏金计划受安全港条款保护,研究人员不会因披露漏洞或对其进行研究而承担任何潜在的法律后果。GitHub也于2020年成为CVE编号机构(CNA)的成员,并开始针对GitHubEnterpriseServer中的漏洞发布CVE。本文转自OSCHINA本文标题:GitHubBugBounties:支付的赏金已超过150万美元
