GitHub 2017年支付漏洞赏金100多万元,超出去年一倍多

程序员最爱的 GitHub 在 2014 年开展了一项为期 4 年的漏洞奖励计划,到 2017 年已经是第四年。这四年间,累计发放的漏洞赏金约 35 万美元(按照 3 月 19 日汇率约2216095 元)。其中,前两年累计为 95300 美元,2016 年为 81700 美元,而 2017 年是 2016 年的 2 倍多,达 166495 美元(按照 3 月 19 日汇率约 1054163 元)。

2017 年全年,GitHub 累计收到 840 个漏洞提交报告,但是只有 121 个(15%)得以解决并获得奖金。2016 年,GitHub 共收到 795 个漏洞提交报告,其中只有 73 分有效内容获得奖励,且只有 48 个真正有技术含量,登上了 GitHub 漏洞奖励项目的主页。由于收到有效漏洞数量不尽如人意,所以 GitHub 在 2017 年 10 月重新评估了其支出结构,提高了奖金金额。最终,漏洞赏金增加了一倍,最低额度为 555 美元一个,而最高达到 2 万美元一个。

多项手段鼓励漏洞提交,增加安全性

GitHub 的 Greg Ose 指出,由于以上整改,参与的项目、计划和研究人员规模都不断增加,2017 年 GitHub 支付的赏金是有史以来最多的。此外,他们把 GitHub Enterprise 新版块添加到漏洞奖励项目中,鼓励安全研究员提交 GitHub.com 平台上未公开的或者某些特定的企业部署中比较重要的关键漏洞。

Ose 说:

2017 年伊始,我们收到一系列影响企业认证方法的漏洞报告,这促使我们在内部关注这个问题,并且也开始关注如何才能让研究员关注到这一新版块。

此外,Ose 还表示他们已经发起了首个研究人员补助项目,实现了他们长久以来关注的一个目标。这个项目会为挖掘应用程序特定功能或领域中漏洞的研究人员发布固定金额的奖励。当然,其他发现漏洞的人员也可以通过这个项目获得奖励。

2017 年,GitHub 还推出了私人漏洞补丁服务,可以限制生产过程中漏洞的影响范围。此外,他们还在内部进行改进,以便更有效地分类并修复收到的漏洞。2018 年,他们也将进一步完善流程。

现在,GitHub 希望进一步扩大 2017 年所取得成绩,推出更多私人奖励和研究补助,以便在漏洞公开发布过程中(包括之前和之后)引起大家的关注。他们计划在今年晚些时候推出其他奖励计划。

Ose 总结道:

我们的漏洞赏金项目已经取得了成功,现在正考虑如何扩大范围,为我们的生产服务提供更多帮助,同时保护整个 GitHub 生态系统。我们很期待下一步工作,并且会在今年分类并修复研究人员提交的漏洞。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-03-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

向云计算迁移不得不考虑的问题

把应用程序迁往云计算这一工作将对网络需求产生很大的影响,从而影响云计算成本。“所用即所付”是云计算供应商们所常用的一种诱人的流行销售说辞,而CIO们也往往...

2848
来自专栏云计算D1net

三种云部署方式 助企业实现高性能云存储

用户把他们的基础设施移出数据中心以外,总是会涉及延迟问题,那些寄希望于云供应商能够提供高性能的云存储的用户,就不得不学会妥协,要么部分地放弃对高性能的要求,要么...

4724
来自专栏奇点大数据

Python语言的七大优势

Python 是一门更注重可读性和效率的语言,尤其是相较于 Java,PHP 以及 C++ 这样的语言,它的这两个优势让其在开发者中大受欢迎。

1322
来自专栏罗超频道

今天凌晨这个小动作,让微信完成复制中国互联网的最后一步

6月6日凌晨,苹果WWDC 2017年召开让许多人忽视了微信的一个重量级更新:微信公众账号图文消息正式允许插入第三方内容。微信内容运营者在编辑图文消息时,可以插...

3215
来自专栏知晓程序

找不到喜欢的思维导图 App,他做了个小程序取悦自己 | 晓组织 #2

每周,我们都会邀请优秀的小程序开发者,从产品/开发/运营等角度,分享他的小程序实战经验。如果你想成为「晓组织」的一员,请发送邮件至 bigbang@ifanr....

1044
来自专栏云计算D1net

云数据库在企业应用中的优势

一、云计算概述 云计算是近几年来最热门的互联网词汇之一。自从1983年由Sun Microsystems公司提出“网络是电脑”的概念,到2006年亚马逊...

3514
来自专栏杨建荣的学习笔记

DBA技能发展变化小结

去年年底的时候,我尤其焦虑,因为圈子的缘故,我能感受到行业里的变化和趋势,所以所想和所做不能匹配的时候,焦虑难免产生。当然我们要做减法和解法。

1501
来自专栏Linyb极客之路

如何快速成长为技术大牛?阿里资深技术专家的总结亮了!

导读:你是否有类似这样的问题——“天天写业务代码的程序员,怎么成为技术大牛,开始写技术代码?”今天,阿里资深无线开发专家李运华,系统梳理了自己的思考和理解,希望...

813
来自专栏知晓程序

深度体验了 50 个小程序之后,我的一些冷思考

942
来自专栏BestSDK

一个完整的小程序应用是这样诞生的

一、idea来源 作为一个篮球运动爱好者,其实一直以来都有个小想法,就是想要做一个“O2O约球”的App,类似于滴滴打车,可以在线上邀请朋友或者陌生的球友,线下...

3264

扫码关注云+社区