GitHub 2017年支付漏洞賞金100多萬元，超出去年一倍多

程序員最愛的 GitHub 在 2014 年開展了一項為期 4 年的漏洞獎勵計劃，到 2017 年已經是第四年。這四年間，累計發放的漏洞賞金約 35 萬美元（

按照 3 月 19 日匯率

約2216095 元）。其中，前兩年累計為 95300 美元，2016 年為 81700 美元，而 2017 年是 2016 年的 2 倍多，達 166495 美元（按照 3 月 19 日匯率約 1054163 元）。

2017 年全年，GitHub 累計收到 840 個漏洞提交報告，但是只有 121 個（15%）得以解決並獲得獎金。2016 年，GitHub 共收到 795 個漏洞提交報告，其中只有 73 分有效內容獲得獎勵，且只有 48 個真正有技術含量，登上了 GitHub 漏洞獎勵項目的主頁。由於收到有效漏洞數量不盡如人意，所以 GitHub 在 2017 年 10 月重新評估了其支出結構，提高了獎金金額。最終，漏洞賞金增加了一倍，最低額度為 555 美元一個，而最高達到 2 萬美元一個。

多項手段鼓勵漏洞提交，增加安全性

GitHub 的 Greg Ose 指出，由於以上整改，參與的項目、計劃和研究人員規模都不斷增加，2017 年 GitHub 支付的賞金是有史以來最多的。此外，他們把 GitHub Enterprise 新版塊添加到漏洞獎勵項目中，鼓勵安全研究員提交 GitHub.com 平台上未公開的或者某些特定的企業部署中比較重要的關鍵漏洞。

Ose 說：

2017 年伊始，我們收到一系列影響企業認證方法的漏洞報告，這促使我們在內部關注這個問題，並且也開始關注如何才能讓研究員關注到這一新版塊。

此外，Ose 還表示他們已經發起了首個研究人員補助項目，實現了他們長久以來關注的一個目標。這個項目會為挖掘應用程序特定功能或領域中漏洞的研究人員發布固定金額的獎勵。當然，其他發現漏洞的人員也可以通過這個項目獲得獎勵。

2017 年，GitHub 還推出了私人漏洞補丁服務，可以限制生產過程中漏洞的影響範圍。此外，他們還在內部進行改進，以便更有效地分類並修復收到的漏洞。2018 年，他們也將進一步完善流程。

現在，GitHub 希望進一步擴大 2017 年所取得成績，推出更多私人獎勵和研究補助，以便在漏洞公開發布過程中（包括之前和之後）引起大家的關注。他們計劃在今年晚些時候推出其他獎勵計劃。

Ose 總結道：

我們的漏洞賞金項目已經取得了成功，現在正考慮如何擴大範圍，為我們的生產服務提供更多幫助，同時保護整個 GitHub 生態系統。我們很期待下一步工作，並且會在今年分類並修復研究人員提交的漏洞。

*參考來源：SecurityWeek，AngelaY 編譯整理，轉載請註明來自 FreeBuf.COM。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！