Över en halv miljon dollar har utfärdats som belöningar för forskare som deltar i GitHubs bug-bounty-program under det senaste året, vilket ger en total utbetalning på över $ 1,5 miljoner.
Den Microsoftägda leverantören har drivit GitHub Security Bug Bounty-programmet i sju år.
Bug bounty-program är nu ett vanligt sätt för leverantörer att få hjälp från tredjepartsforskare med att säkra produkter och tjänster. Åren tidigare var det ibland svårt att avslöja fel och många företag hade ingen särskild kontakt eller portal för sårbarhetsrapporter – men nu erbjuds både kredit- och ekonomiska belöningar.
Säljaren säger att 2020 “var det mest trafikerade året hittills” för GitHubs program.
“Från februari 2020 till februari 2021 hanterade vi en större mängd inlämningar än något tidigare år”, säger GitHub.
Totalt skickades 1 066 buggrapporter över GitHubs offentliga och privata program – det senare är inriktat på beta- och pre-release-produkter – under året och $ 524 250 tilldelades för 203 sårbarheter. Sedan 2016, tiden då GitHub lanserade sitt offentliga program på HackerOne, har belöningarna nu nått $ 1552 004.
Omfattningen av GitHubs program innehåller många GitHub-ägda domäner och mål som GitHub API, Actions, Pages och Gist. Kritiska problem, inklusive exekvering av kod, SQL-attacker och bypass-taktik för inloggning, kan ge forskare upp till $ 30 000 per rapport.
GitHub fungerar också enligt Safe Harbor-principen, där bugjaktjägare som följer policyer för ansvarsfullt offentliggörande skyddas från eventuella juridiska konsekvenser av sin forskning.
Företaget säger att under det senaste året har en universell öppen redirect-inlämning blivit dess “favorit” -fel. William Bowling kunde utveckla ett utnyttjande som utnyttjade begäranhanterare för att utlösa en öppen omdirigering och också kompromissa med GAST-användarens OAuth-flöden.
Rapporten gav Bowling en belöning på 10 000 dollar.
GitHub blev också en CVE-nummermyndighet (CNA) 2020 och har börjat utfärda CVE för sårbarheter i GitHub Enterprise Server.
I relaterade GitHub-nyheter uppdaterade organisationen tidigare denna månad sina policyer för delning av programvara och kod som inte bara kan användas för att genomföra säkerhetsforskning utan också kan antas av angripare.
GitHub uppdaterade sina termer för att ta bort “alltför brett” språk som används för att beskriva “dual-use” programvara, inklusive verktyg som Mimikatz, för att “uttryckligen tillåta” delning och ta bort risken för anklagelser om fientlighet mot äkta hot och cybersäkerhetsforskning.
Tidigare och relaterad täckning
GitHub: Så här ändrar vi våra regler kring forskning om skadlig programvara och programvarusårbarhet – Microsoft Teams: Nya funktioner för GitHub-användare gör livet enklare för utvecklare
Kommer din dator att köra Windows 11? Även Microsoft kan inte säga säkert
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över vid Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Data Management CXO Data Centers 