Af Charlie Osborne til Zero Day | 28. juni 2021 – 08:28 GMT (09:28 BST) | Emne: Sikkerhed
Over en halv million dollars er blevet uddelt som belønning for forskere, der deltager i GitHubs bug-bounty-program i løbet af det sidste år, hvilket bringer de samlede udbetalinger til over $ 1,5 millioner.
Den Microsoft-ejede leverandør har drevet GitHub Security Bug Bounty-programmet i syv år.
Bug bounty-programmer er nu en almindelig måde for leverandører at få hjælp fra tredjepartsforskere med at sikre produkter og tjenester. År tidligere var det undertiden svært at offentliggøre bugs, og mange virksomheder havde ikke en dedikeret kontakt eller portal til sårbarhedsrapporter – men nu tilbydes der ofte både kredit og økonomiske belønninger.
Sælgeren siger, at 2020 “var det travleste år endnu” for GitHubs program.
“Fra februar 2020 til februar 2021 håndterede vi en større mængde indsendelser end noget tidligere år,” siger GitHub.
I alt blev der indsendt 1.066 fejlrapporter på tværs af GitHubs offentlige og private program – hvoraf sidstnævnte er fokuseret på beta- og pre-release-produkter – i løbet af året, og $ 524.250 blev tildelt for 203 sårbarheder. Siden 2016, det tidspunkt, hvor GitHub lancerede sit offentlige program på HackerOne, har belønningerne nu nået $ 1.552.004.
Omfanget af GitHubs program inkluderer adskillige GitHub-ejede domæner og mål såsom GitHub API, Actions, Pages og Gist. Kritiske problemer, herunder kodeudførelse, SQL-angreb og login-bypass-taktik, kan tjene forskere op til $ 30.000 pr. Rapport.
GitHub opererer også under Safe Harbor-princippet, hvor bug-bounty-jægere, der overholder politikker for ansvarlig videregivelse, er beskyttet mod eventuelle juridiske konsekvenser af deres forskning.
Virksomheden siger, at en universel åben omdirigering i løbet af det sidste år er blevet dens “favorit” -fejl. William Bowling var i stand til at udvikle en udnyttelse, der leverede anmodningshåndterere til at udløse en åben omdirigering og også kompromittere Gist-brugerens OAuth-strømme.
Rapporten tjente Bowling en belønning på $ 10.000.
GitHub blev også en CVE Number Authority (CNA) i 2020 og er begyndt at udstede CVE'er for sårbarheder i GitHub Enterprise Server.
I relaterede GitHub-nyheder opdaterede organisationen tidligere på denne måned sine politikker for deling af software og kode, som ikke kun kan bruges til at udføre sikkerhedsundersøgelser, men også kan vedtages af angribere.
GitHub opdaterede sine vilkår for at fjerne “alt for bredt” sprog, der blev brugt til at beskrive “dual-use” software, herunder værktøjer som Mimikatz, for at “eksplicit tillade” deling og fjerne risikoen for enhver beskyldning om fjendtlighed mod ægte trussel og cybersikkerhedsforskning.
Tidligere og relateret dækning
GitHub: Sådan ændrer vi vores regler omkring malware- og softwaresårbarhedsundersøgelser – Microsoft Teams: Nye funktioner til GitHub-brugere vil gøre livet lettere for udviklere
Kører din pc Windows 11? Selv Microsoft kan ikke sige det sikkert –
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV Data Management CXO Data Centers 