Over en halv million dollar har blitt utstedt som belønning for forskere som deltar i GitHubs bug-bounty-program det siste året, og samlet utbetalinger til over $ 1,5 millioner.
Den Microsoft-eide leverandøren har drevet GitHub Security Bug Bounty-programmet i syv år.
Feilprogrammer er nå en vanlig måte for leverandører å få hjelp fra tredjepartsforskere med å sikre produkter og tjenester. År siden var det noen ganger vanskelig å avsløre feil, og mange selskaper hadde ikke en dedikert kontakt eller portal for sårbarhetsrapporter – men nå tilbys ofte både kreditt- og økonomiske fordeler.
Leverandøren sier at 2020 “var det travleste året ennå” for GitHubs program.
“Fra februar 2020 til februar 2021 håndterte vi et høyere volum innsendinger enn noe tidligere år,” sier GitHub.
Totalt ble det sendt inn 1.066 feilrapporter på tvers av GitHubs offentlige og private program – det siste er fokusert på beta- og pre-release-produkter – i løpet av året, og $ 524,250 ble tildelt for 203 sårbarheter. Siden 2016, tiden da GitHub lanserte sitt offentlige program på HackerOne, har belønningene nå nådd $ 1552 004.
Omfanget av GitHubs program inkluderer mange GitHub-eide domener og mål som GitHub API, Actions, Pages og Gist. Kritiske problemer, inkludert kodeutførelse, SQL-angrep og bypass-taktikk for innlogging, kan tjene forskere opp til $ 30 000 per rapport.
GitHub opererer også under Safe Harbor-prinsippet, der bug-bounty hunters som overholder ansvarlig informasjon om politikk er beskyttet mot potensielle juridiske konsekvenser av deres forskning.
Selskapet sier at i løpet av det siste året har en universell åpen omdirigering blitt sin “favoritt” -feil. William Bowling var i stand til å utvikle en utnyttelse som utnyttet forespørselsbehandlere for å utløse en åpen omdirigering og også kompromittere Gist-brukerens OAuth-strømmer.
Rapporten ga Bowling en belønning på 10 000 dollar.
GitHub ble også en CVE Number Authority (CNA) i 2020 og har begynt å utstede CVE for sårbarheter i GitHub Enterprise Server.
I relaterte GitHub-nyheter oppdaterte organisasjonen tidligere denne måneden retningslinjene for deling av programvare og kode som ikke bare kan brukes til å utføre sikkerhetsundersøkelser, men som også kan bli vedtatt av angripere.
GitHub oppdaterte vilkårene for å fjerne “altfor bredt” språk som brukes til å beskrive “dual-use” programvare, inkludert verktøy som Mimikatz, for å “eksplisitt tillate” deling og fjerne risikoen for anklager om fiendtlighet mot ekte trussel og cybersikkerhetsforskning.
Tidligere og relatert dekning
GitHub: Slik endrer vi reglene våre rundt forskning om skadelig programvare og programvaresårbarhet – Microsoft Teams: Nye funksjoner for GitHub-brukere vil gjøre livet enklere for utviklere
Vil din PC kjøre Windows 11? Selv Microsoft kan ikke si sikkert
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Beslektede emner:
Security TV Data Management CXO Data Centers 