五周年庆：GitHub 漏洞奖励计划扩大范围提高赏金

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

GitHub在安全漏洞奖励计划正值五周年庆之际宣布推出一系列更新，包括扩大奖励产品涵盖范围、提高赏金以及更新法律安全港条款，为研究人员提供全面的法律保护。

GitHub指出，2018年，公开漏洞奖励计划向安全研究员提供了16.5万美元的奖励，加上针对研究人员的补助金、私人漏洞奖励计划和现场黑客活动等，总赏金达到25万美元。

扩大产品涵盖范围

GitHub正在提高符合条件的GitHub产品数量，针对的是在github.com域下托管的所有第一方服务中存在的漏洞：“这包括GitHub Education、GitHub Learning Lab、GitHub Jobs和GitHub Desktop应用程序。虽然GitHub Enterprise Server自从2016年起就在范围内，但为了进一步提升企业客户的安全，我们现在也将Enterprise Cloud包含在内。”

另外，2019年的GitHub安全漏洞奖励计划将包含面向员工的github.net和githubapp.com域下的所有第一方服务，原因是“我们用户数据的安全也取决于我们员工和内部系统的安全”。

提高赏金

安全漏洞奖励计划中所有级别的漏洞赏金也得到增加，而且严重漏洞不再设置最高赏金限制，这使得GitHub能够为“真正进行前沿研究”的安全研究人员们提供更多的补助。

GitHub最新的赏金额为：

（1）严重级别：2万—3万美元；

（2）高危级别：1万—2万美元：

（3）中危级别：4000—1万美元；

（4）低危级别：617—2000美元

法律安全港条款

GitHub“在网站策略中增加了强大的法律安全港条款”，旨在让安全研究员始终感受到免于遭法律风险的影响。

新的法律安全港条款基于EdOverflow的法律漏洞奖励报告，对Dropbox已更新的漏洞披露策略最佳实践安全港案例、Amit Elazaril研究和Bugcrowd disclose.io项目进行了增加和修改，也是和参与该计划的安全研究人员探讨的结果。

GitHub更新后的法律安全港条款指出:

即使您不慎超越了我们的赏金计划范围，您的研究活动仍受保护和授权。

我们将竭尽所能保护您免受源自不会承担提供相同级别的安全港保护措施的第三方的法律风险。

如网站条款专为赏金研究设置，则不构成违反。

https://www.bleepingcomputer.com/news/security/github-updates-bug-bounty-program-with-expanded-scope-higher-rewards/