Sono stati emessi oltre mezzo milione di dollari come ricompensa per i ricercatori che hanno partecipato al programma bug bounty di GitHub nell'ultimo anno, portando i pagamenti totali a oltre 1,5 milioni di dollari.
Il fornitore di proprietà di Microsoft gestisce il programma GitHub Security Bug Bounty da sette anni.
I programmi di bug bounty sono ora un modo comune per i fornitori di ottenere aiuto da ricercatori di terze parti nella protezione di prodotti e servizi. Negli anni passati, a volte era difficile divulgare privatamente i bug e molte aziende non avevano un contatto o un portale dedicato per i rapporti sulle vulnerabilità, ma ora sono spesso offerti sia crediti che ricompense finanziarie.
Il venditore afferma che il 2020 “è stato l'anno più impegnativo” per il programma di GitHub.
“Da febbraio 2020 a febbraio 2021, abbiamo gestito un volume di invii più elevato rispetto a qualsiasi anno precedente”, afferma GitHub.
In totale, nel corso dell'anno sono state inviate 1.066 segnalazioni di bug attraverso il programma pubblico e privato di GitHub, l'ultimo dei quali è incentrato su prodotti beta e pre-rilascio, e $ 524.250 sono stati assegnati per 203 vulnerabilità. Dal 2016, dal momento in cui GitHub ha lanciato il suo programma pubblico su HackerOne, i premi hanno ora raggiunto $ 1,552,004.
L'ambito del programma di GitHub include numerosi domini e obiettivi di proprietà di GitHub come l'API GitHub, Actions, Pages e Gist. I problemi critici, tra cui l'esecuzione del codice, gli attacchi SQL e le tattiche di bypass dell'accesso, possono far guadagnare ai ricercatori fino a $ 30.000 per rapporto.
GitHub opera anche secondo il principio Safe Harbor, in base al quale i cacciatori di taglie che aderiscono a politiche di divulgazione responsabile sono protetti da qualsiasi potenziale ramificazione legale della loro ricerca.
La società afferma che nell'ultimo anno un invio di reindirizzamento aperto universale è diventato il suo bug “preferito”. William Bowling è stato in grado di sviluppare un exploit che ha sfruttato i gestori delle richieste per attivare un reindirizzamento aperto e anche compromettere i flussi OAuth dell'utente Gist.
Il rapporto ha fruttato a Bowling una ricompensa di 10.000 dollari.
GitHub è diventata anche una CVE Number Authority (CNA) nel 2020 e ha iniziato a emettere CVE per le vulnerabilità in GitHub Enterprise Server.
Nelle notizie relative a GitHub, all'inizio di questo mese l'organizzazione ha aggiornato le sue politiche sulla condivisione di software e codice che non solo possono essere utilizzati per condurre ricerche sulla sicurezza, ma potrebbero anche essere adottati dagli aggressori.
GitHub ha aggiornato i suoi termini per eliminare il linguaggio “troppo ampio” utilizzato per descrivere il software “doppio uso”, inclusi strumenti come Mimikatz, per “permettere esplicitamente” la condivisione e rimuovere il rischio di qualsiasi accusa di ostilità verso le minacce autentiche e la ricerca sulla sicurezza informatica.
Copertura precedente e correlata
GitHub: ecco come stiamo cambiando le nostre regole sulla ricerca di vulnerabilità di malware e software
Microsoft Teams: le nuove funzionalità per gli utenti di GitHub semplificheranno la vita agli sviluppatori
Il tuo PC eseguirà Windows 11? Nemmeno Microsoft può dirlo con certezza
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 