在過去的一年里，GitHub 已經為參與 GitHub 漏洞懸賞計劃(bug bounty program)的研究人員發放了超過 50 萬美元的獎勵，使得 GitHub 支付的總金額超過了 150 萬美元。這家微軟旗下的代碼托管平臺所推出的安全漏洞懸賞計劃至今已經運作了七年時間。

[[408323]]

以往，研究人員想要私下披露漏洞有時很困難，許多公司沒有專門的聯系人或漏洞報告的提交入口 —— 但現在，漏洞懸賞計劃已經成為供應商在確保產品和服務安全方面尋求第三方研究人員幫助的一種常見方式。

GitHub 表示："從 2020 年 2 月到 2021 年 2 月，我們處理的提交量比以往任何一年都高。2020 年是 GitHub 項目最繁忙的一年。“

在這一年里，GitHub 的公共和私有項目總共接收到了 1066 份錯誤報告——私有項目主要專注于測試版和預發布版產品，GitHub 為其中 203 個漏洞的提交者頒發了 524,250 美元。自項目推出以來，GitHub 目前發放的獎金已經達到 1,552,004 美元。

相比 2019 年，GitHub 如今的響應時間提高了 4 個小時，第一次響應的平均時間目前為 13 小時。提交的材料平均在 24 小時內得到驗證并在內部分流到對應的團隊中處理。在提交符合條件的報告后，平均 24 天內會支付賞金。

GitHub 懸賞計劃的范圍包括眾多 GitHub 擁有的域名和項目，如 GitHub API、Actions、Pages 和 Gist。如果研究人員發的漏洞涉及關鍵問題，例如代碼執行、SQL 攻擊和登錄繞過策略等，GitHub 會為每份報告的提交者獎勵最高 3 萬美元。

與此同時，GitHub 漏洞懸賞計劃受到 Safe Harbor 條款的保護，研究人員不會因其披露漏洞或對漏洞進行研究而產生任何潛在的法律后果。GitHub 在 2020 年也成為 CVE 編號機構的一員(CNA)，并開始為 GitHub 企業服務器的漏洞發布 CVE。

本文轉自OSCHINA

本文標題：GitHub 漏洞懸賞：支付賞金已超過 150 萬美元

本文地址：https://www.oschina.net/news/148291/github-bug-bounties-payouts-past-1-5-million