Über eine halbe Million Dollar wurden als Belohnungen für Forscher ausgegeben, die im vergangenen Jahr am Bug-Bounty-Programm von GitHub teilgenommen haben, wodurch sich die Gesamtauszahlungen auf über 1,5 Millionen Dollar belaufen.
Der Microsoft-eigene Anbieter betreibt das GitHub Security Bug Bounty Program seit sieben Jahren.
Bug-Bounty-Programme sind heute eine gängige Methode für Anbieter, um bei der Sicherung von Produkten und Dienstleistungen von externen Forschern Hilfe zu erhalten. In den vergangenen Jahren war es manchmal schwierig, Fehler privat offenzulegen, und viele Unternehmen hatten keinen eigenen Kontakt oder kein Portal für Schwachstellenberichte – aber jetzt werden oft sowohl Kredite als auch finanzielle Belohnungen angeboten.
Der Anbieter sagt, dass 2020 “das bisher geschäftigste Jahr” für das GitHub-Programm war.
“Von Februar 2020 bis Februar 2021 haben wir ein höheres Einsendevolumen als jedes Jahr zuvor bearbeitet”, sagt GitHub.
Insgesamt wurden im Laufe des Jahres 1.066 Fehlerberichte über das öffentliche und private Programm von GitHub – letzteres konzentriert sich auf Beta- und Vorabversionen – eingereicht und 524.250 US-Dollar für 203 Schwachstellen vergeben. Seit 2016, als GitHub sein öffentliches Programm auf HackerOne startete, liegen die Belohnungen nun bei 1.552.004 $.
Der Umfang des GitHub-Programms umfasst zahlreiche GitHub-eigene Domains und Ziele wie die GitHub-API, Actions, Pages und Gist. Kritische Probleme, einschließlich Codeausführung, SQL-Angriffe und Taktiken zur Umgehung der Anmeldung, können Forschern bis zu 30.000 US-Dollar pro Bericht einbringen.
GitHub arbeitet auch nach dem Safe-Harbor-Prinzip, bei dem Bug-Bounty-Jäger, die sich an verantwortungsvolle Offenlegungsrichtlinien halten, vor möglichen rechtlichen Auswirkungen ihrer Forschung geschützt sind.
Das Unternehmen sagt, dass im letzten Jahr eine universelle offene Weiterleitungsübermittlung zu seinem “Lieblingsfehler” geworden ist. William Bowling konnte einen Exploit entwickeln, der Request-Handler nutzte, um eine offene Weiterleitung auszulösen und auch die OAuth-Flows von Gist-Benutzern zu gefährden.
Der Bericht brachte Bowling eine Belohnung von 10.000 US-Dollar ein.
GitHub wurde im Jahr 2020 auch eine CVE Number Authority (CNA) und hat damit begonnen, CVEs für Schwachstellen in GitHub Enterprise Server auszugeben.
In verwandten GitHub-Nachrichten hat die Organisation Anfang dieses Monats ihre Richtlinien zum Teilen von Software und Code aktualisiert, die nicht nur zur Durchführung von Sicherheitsforschungen verwendet werden können, sondern auch von Angreifern übernommen werden könnten.
GitHub hat seine Bedingungen aktualisiert, um die “zu weit gefasste” Sprache zu entfernen, die zur Beschreibung von “Dual-Use”-Software verwendet wird, einschließlich Tools wie Mimikatz, um das Teilen “ausdrücklich zu gestatten” und das Risiko einer Anschuldigung der Feindseligkeit gegenüber echter Bedrohungs- und Cybersicherheitsforschung zu beseitigen.
Frühere und verwandte Berichterstattung
GitHub: So ändern wir unsere Regeln für die Erforschung von Malware- und Software-Schwachstellen
Microsoft Teams: Neue Funktionen für GitHub-Benutzer werden Entwicklern das Leben erleichtern
Wird auf Ihrem PC Windows 11 ausgeführt? Nicht einmal Microsoft kann das mit Sicherheit sagen
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 