Πάνω από μισό εκατομμύριο δολάρια έχουν δοθεί ως αμοιβές σε ερευνητές ασφαλείας που συμμετέχουν στο bug bounty πρόγραμμα του GitHub κατά τη διάρκεια του προηγούμενου έτους, φτάνοντας τα 1,5 εκατομμύρια δολάρια συνολικά.

Δείτε επίσης: Hacker κέρδισε $ 2 εκατομμύρια σε bug bounty προγράμματα!

Το GitHub λειτουργεί το GitHub Security Bug Bounty πρόγραμμα εδώ και επτά χρόνια.

Τα bug bounty προγράμματα είναι πλέον πολύ δημοφιλή και όλο και περισσότερες εταιρείες και υπηρεσίες ζητούν από ερευνητές ασφαλείας να ψάξουν τα συστήματά τους για πιθανές ευπάθειες, έναντι αμοιβής.

Από το Φεβρουάριο του 2020 έως το Φεβρουάριο του 2021, χειριστήκαμε το μεγαλύτερο όγκο αναφορών από οποιοδήποτε προηγούμενο έτος“, λέει το GitHub.

Συνολικά, υποβλήθηκαν 1.066 αναφορές σφαλμάτων, κατά τη διάρκεια του τελευταίου έτους, στο δημόσιο και ιδιωτικό πρόγραμμα του GitHub (το τελευταίο επικεντρώνεται σε προϊόντα beta και άλλα προϊόντα που δεν έχουν κυκλοφορήσει ακόμα). Επίσης, δόθηκαν $ 524.250 για 203 ευπάθειες. Από το 2016, που το GitHub ξεκίνησε το δημόσιο πρόγραμμά του στο HackerOne, οι ανταμοιβές έχουν πλέον φτάσει τα 1.552.004 $.

Δείτε επίσης: GitHub: Οι developers θα ανεβάζουν βίντεο στα repositories τους

Το πεδίο εφαρμογής του bug bounty προγράμματος του GitHub περιλαμβάνει πολλά GitHub-owned domains και άλλα στοιχεία, όπως το GitHub API, Actions, Pages, and Gist. Η αναφορά κρίσιμων ευπαθειών (π.χ. αυτών που επιτρέπουν εκτέλεση κώδικα, επιθέσεις SQL και παράκαμψη διαδικασιών σύνδεσης), μπορεί να αποφέρει στους ερευνητές έως και 30.000 $

.

Το GitHub λειτουργεί επίσης σύμφωνα με την αρχή Safe Harbour, η οποία λέει ότι οι κυνηγοί σφαλμάτων που αποκαλύπτουν ευπάθειες υπεύθυνα και σύμφωνα με τις πολιτικές των εταιρειών, προστατεύονται από πιθανές νομικές συνέπειες της έρευνάς τους.

Η εταιρεία είπε, επίσης, ότι τον τελευταίο χρόνο, μια open redirect ευπάθεια αποτέλεσε το “αγαπημένο” σφάλμα της πλατφόρμας. Ο William Bowling μπόρεσε να αναπτύξει ένα exploit το οποίο έδειξε πώς αυτή η ευπάθεια στο GitHub.com θα μπορούσε να θέσει σε κίνδυνο Gist user OAuth flows.

Δείτε επίσης: Πώς να διαγράψετε εύκολα και γρήγορα ένα GitHub repository;

Ο Bowling κατάφερε να κερδίσει 10.000 $ για την αναφορά της συγκεκριμένης ευπάθειας.

Το GitHub απέκτησε, επίσης, την ιδιότητα του CVE Number Authority (CNA) το 2020 και έχει αρχίσει να εκδίδει CVE IDs για ευπάθειες στο GitHub Enterprise Server.

Πηγή: ZDNet