GitHub 2017年支付漏洞赏金100多万元,超出去年一倍多

程序员最爱的 GitHub 在 2014 年开展了一项为期 4 年的漏洞奖励计划,到 2017 年已经是第四年。这四年间,累计发放的漏洞赏金约 35 万美元(按照 3 月 19 日汇率约2216095 元)。其中,前两年累计为 95300 美元,2016 年为 81700 美元,而 2017 年是 2016 年的 2 倍多,达 166495 美元(按照 3 月 19 日汇率约 1054163 元)。

2017 年全年,GitHub 累计收到 840 个漏洞提交报告,但是只有 121 个(15%)得以解决并获得奖金。2016 年,GitHub 共收到 795 个漏洞提交报告,其中只有 73 分有效内容获得奖励,且只有 48 个真正有技术含量,登上了 GitHub 漏洞奖励项目的主页。由于收到有效漏洞数量不尽如人意,所以 GitHub 在 2017 年 10 月重新评估了其支出结构,提高了奖金金额。最终,漏洞赏金增加了一倍,最低额度为 555 美元一个,而最高达到 2 万美元一个。

多项手段鼓励漏洞提交,增加安全性

GitHub 的 Greg Ose 指出,由于以上整改,参与的项目、计划和研究人员规模都不断增加,2017 年 GitHub 支付的赏金是有史以来最多的。此外,他们把 GitHub Enterprise 新版块添加到漏洞奖励项目中,鼓励安全研究员提交 GitHub.com 平台上未公开的或者某些特定的企业部署中比较重要的关键漏洞。

Ose 说:

2017 年伊始,我们收到一系列影响企业认证方法的漏洞报告,这促使我们在内部关注这个问题,并且也开始关注如何才能让研究员关注到这一新版块。

此外,Ose 还表示他们已经发起了首个研究人员补助项目,实现了他们长久以来关注的一个目标。这个项目会为挖掘应用程序特定功能或领域中漏洞的研究人员发布固定金额的奖励。当然,其他发现漏洞的人员也可以通过这个项目获得奖励。

2017 年,GitHub 还推出了私人漏洞补丁服务,可以限制生产过程中漏洞的影响范围。此外,他们还在内部进行改进,以便更有效地分类并修复收到的漏洞。2018 年,他们也将进一步完善流程。

现在,GitHub 希望进一步扩大 2017 年所取得成绩,推出更多私人奖励和研究补助,以便在漏洞公开发布过程中(包括之前和之后)引起大家的关注。他们计划在今年晚些时候推出其他奖励计划。

Ose 总结道:

我们的漏洞赏金项目已经取得了成功,现在正考虑如何扩大范围,为我们的生产服务提供更多帮助,同时保护整个 GitHub 生态系统。我们很期待下一步工作,并且会在今年分类并修复研究人员提交的漏洞。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-03-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏進无尽的文章

从idea到原型构建一个软件

看到一篇不错的,从最开始的产品概念到产品功能细化开发的文章,这里在转载的基础上加了一些批注。文末附上原文出处。

1772
来自专栏企鹅号快讯

跟小编来体验一下微信小程序

今天微信小程序刷爆了整个朋友圈。微信小程序在2017年1月9日凌晨正式上线,用户可以通过二维码、搜索使用开发者提供的小程序。 笔者晚上也迫不及待的体验了一把这个...

2715
来自专栏依乐祝

白话架构设计为你阐述什么是架构设计,架构设计的三大原则是什么

前面两篇文章给大家介绍了我们实战的CMS系统的数据库设计,源码也已经上传到服务器上了。今天我们就好聊聊架构设计,在开始之前先给大家分享一下这几天我一直在听的《从...

1793
来自专栏量子位

维基百科背后,有场旷日持久的机器人编辑之战,开发者都不曾料到

王新民 | 编译自Gizmodo 维基百科上的人类编辑,经常由于修改意见的不同而产生冲突。一份英国的新研究表明,维基百科上的软件机器人之间,也有类似的在线冲突。...

34711
来自专栏罗超频道

今天凌晨这个小动作,让微信完成复制中国互联网的最后一步

6月6日凌晨,苹果WWDC 2017年召开让许多人忽视了微信的一个重量级更新:微信公众账号图文消息正式允许插入第三方内容。微信内容运营者在编辑图文消息时,可以插...

3275
来自专栏奇点大数据

Python语言的七大优势

Python 是一门更注重可读性和效率的语言,尤其是相较于 Java,PHP 以及 C++ 这样的语言,它的这两个优势让其在开发者中大受欢迎。

1662
来自专栏Linyb极客之路

如何快速成长为技术大牛?阿里资深技术专家的总结亮了!

导读:你是否有类似这样的问题——“天天写业务代码的程序员,怎么成为技术大牛,开始写技术代码?”今天,阿里资深无线开发专家李运华,系统梳理了自己的思考和理解,希望...

903
来自专栏BestSDK

一个完整的小程序应用是这样诞生的

一、idea来源 作为一个篮球运动爱好者,其实一直以来都有个小想法,就是想要做一个“O2O约球”的App,类似于滴滴打车,可以在线上邀请朋友或者陌生的球友,线下...

3704
来自专栏杨建荣的学习笔记

DBA技能发展变化小结

去年年底的时候,我尤其焦虑,因为圈子的缘故,我能感受到行业里的变化和趋势,所以所想和所做不能匹配的时候,焦虑难免产生。当然我们要做减法和解法。

1611
来自专栏Debian社区

Jono Bacon: GPL 没落了吗?

不久之前我看到了 RedMonk 的 Stephen O’Grady 发了一个关于开源协议的有趣的推特,那个推特里面有这张图,

922

扫码关注云+社区

领取腾讯云代金券