GitHub 去年為漏洞支付了 16.6 萬美元賞金

雷鋒網消息，美國時間 3 月 16 日，據外媒報導，去年，GitHub 向安全研究人員支付了總計 166495 美元的獎勵，針對 GitHub 這個為期四年的“漏洞賞金”項目，安全研究人員會上報自己發現的系統問題和漏洞。

2016 年，GitHub 一共支付了81.7萬美元，而去年的支出總額顯然已經翻了一倍多，幾乎相當於前三年的總支出（17.7萬美元）。在 2014 和 2015 兩年時間裡，他們一共支付了95.3萬美元的獎金。

雷鋒網了解到，2017 年，GitHub 一共收到了 840 份漏洞報告意見書，但是最終解決問題並獲得獎金的比例只有15%（約121份）。2016年，GitHub 共收到了 795 份漏洞報告意見書，最終獲得獎勵的只有 73 份，而其中只有 48 份有效報告最終被羅列在了漏洞賞金項目的主頁上。

有效報告的數量上升推動了總支出的增加，也導致了 GitHub 在去年十月重新評估其支付結構。結果就是，獎金增加了一倍，其中最低獎金為 555 美元，最高獎金高達 20000 美元。

GitHub 的 Greg Ose 指出，隨著參與的項目、計劃和研究人員規模不斷增加，去年是迄今為止支付賞金最多的一年。不僅如此，他們還把 GitHub Enterprise 引入到漏洞賞金項目之中，讓研究人員能夠在 GitHub.com 平台上一些未公開的、或是特定於某個企業部署的領域裡找到漏洞。Ose說道：

“去年年初，很多漏洞報告涉及到了我們的企業認證方法，這也促使我們不得不在內部關注這個問題，而且我們也在研究如何讓研究人員也關注這個功能。”

此外，Ose還表示，GitHub 已經發布了首個研究人員捐贈，也是他們長期以來關注的一項舉措。這項工作會為挖掘應用程式特定功能或領域的研究人員支付固定金額。當然，其他任何發現漏洞的人也能夠通過漏洞賞金項目獲得獎勵。

去年，GitHub 還推出了私人漏洞補丁服務，讓用戶能夠限制生產漏洞的影響範圍。不僅如此，他們還進行了內部改進，以更有效進行漏洞分類和修複提交，並計劃在今年進一步完善流程。

現在，GitHub 希望進一步擴大 2017 年所取得成績，推出更多私人獎勵和研究補助金，以便在代碼公開發布之前及之後引起大家的關注。該公司還計劃在今年晚些時候，推出額外的獎勵計劃。Ose總結道：

“鑒於漏洞賞金項目取得了成功，我們現在正考慮如何擴大其範圍，為我們的生產服務提供更多幫助，同時保護整個GitHub生態系統。我們很期待下一步工作，並且會在今年對提交的漏洞內容進行分類和修正。”

雷鋒網VIA securityweek