Er is het afgelopen jaar meer dan een half miljoen dollar uitgegeven als beloning voor onderzoekers die deelnamen aan het bugbounty-programma van GitHub, waardoor de totale uitbetalingen op meer dan $ 1,5 miljoen kwamen.
De leverancier van Microsoft beheert het GitHub Security Bug Bounty-programma al zeven jaar.
Bug bounty-programma's zijn nu een gebruikelijke manier voor leveranciers om hulp te krijgen van externe onderzoekers bij het beveiligen van producten en diensten. In de afgelopen jaren was het soms moeilijk om bugs privé bekend te maken en veel bedrijven hadden geen speciale contactpersoon of portal voor kwetsbaarheidsrapporten – maar nu worden er vaak zowel krediet als financiële beloningen aangeboden.
De leverancier zegt dat 2020 “het drukste jaar tot nu toe” was voor het programma van GitHub.
“Van februari 2020 tot februari 2021 hebben we een groter aantal inzendingen verwerkt dan enig ander jaar”, zegt GitHub.
In totaal zijn er in de loop van het jaar 1.066 bugrapporten ingediend via het openbare en privéprogramma van GitHub – waarvan de laatste gericht is op bèta- en pre-releaseproducten – en $ 524.250 werd toegekend voor 203 kwetsbaarheden. Sinds 2016, de tijd dat GitHub zijn openbare programma op HackerOne lanceerde, hebben de beloningen nu $ 1.552.004 bereikt.
De reikwijdte van het programma van GitHub omvat talrijke domeinen en doelen die eigendom zijn van GitHub, zoals de GitHub API, Actions, Pages en Gist. Kritieke problemen, waaronder het uitvoeren van code, SQL-aanvallen en tactieken voor het omzeilen van inloggen, kunnen onderzoekers tot $ 30.000 per rapport opleveren.
GitHub werkt ook volgens het Safe Harbor-principe, waarbij premiejagers voor bugs die zich houden aan het beleid voor verantwoorde openbaarmaking, worden beschermd tegen mogelijke juridische gevolgen van hun onderzoek.
Het bedrijf zegt dat het afgelopen jaar een universele indiening van open omleidingen zijn “favoriete” bug is geworden. William Bowling was in staat om een exploit te ontwikkelen die gebruikmaakte van verzoekbehandelaars om een open omleiding te activeren en ook om de OAuth-stromen van Gist-gebruikers in gevaar te brengen.
Het rapport leverde Bowling een beloning op van $ 10.000.
GitHub werd in 2020 ook een CVE Number Authority (CNA) en is begonnen met het uitgeven van CVE's voor kwetsbaarheden in GitHub Enterprise Server.
In gerelateerd GitHub-nieuws, eerder deze maand, heeft de organisatie haar beleid voor het delen van software en code bijgewerkt, die niet alleen kan worden gebruikt om beveiligingsonderzoek uit te voeren, maar ook door aanvallers kan worden overgenomen.
GitHub heeft zijn voorwaarden geüpdatet om “te brede” taal die wordt gebruikt om software voor “tweeërlei gebruik” te beschrijven, inclusief tools zoals Mimikatz, te schrappen om delen “expliciet toe te staan” en het risico van elke beschuldiging van vijandigheid jegens echte dreiging en cyberbeveiligingsonderzoek weg te nemen.
Eerdere en gerelateerde berichtgeving
GitHub: zo veranderen we onze regels rond onderzoek naar malware en softwarekwetsbaarheden
Microsoft Teams: nieuwe functies voor GitHub-gebruikers zullen het leven van ontwikkelaars gemakkelijker maken
Draait uw pc Windows 11? Zelfs Microsoft kan het niet met zekerheid zeggen
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters