去年,GitHub向安全研究人员支付了总计166495美元的奖励,约合人民币105万元。针对GitHub这个为期四年的“漏洞赏金”项目,安全研究人员会上报自己发现的系统问题和漏洞。 A/ z6 ~( q, [! y s, n- M
2016年,GitHub一共支付了81.7万美元,而去年的支出总额显然已经翻了一倍多,几乎相当于前三年的总支出(17.7万美元)。在2014和2015两年时间里,他们一共支付了95.3万美元的奖金。, o, i( `" q# K* e8 r
2017年,GitHub一共收到了840份漏洞报告意见书,但是最终解决问题并获得奖金的比例只有15%(约121份)。
! \1 j5 N d$ J) @3 Z" ~2016年,GitHub共收到了795份漏洞报告意见书,最终获得奖励的只有73份,而其中只有48份有效报告最终被罗列在了漏洞赏金项目的主页上。* T7 \2 t, H' @* A" u
有效报告的数量上升推动了总支出的增加,也导致了GitHub在去年十月重新评估其支付结构。结果就是,奖金增加了一倍,其中最低奖金为555美元,最高奖金高达20000美元。
9 ]2 U8 v5 ~, e- F3 X+ \- J/ }8 sGitHub的Greg Ose指出,随着参与的项目、计划和研究人员规模不断增加,去年是迄今为止支付赏金最多的一年。
4 w, q$ E8 K% I# T1 H" g不仅如此,他们还把GitHub Enterprise引入到漏洞赏金项目之中,让研究人员能够在GitHub.com平台上一些未公开的、或是特定于某个企业部署的领域里找到漏洞。
# ?- G" M7 A( v; BOse说道:“去年年初,很多漏洞报告涉及到了我们的企业认证方法,这也促使我们不得不在内部关注这个问题,而且我们也在研究如何让研究人员也关注这个功能。”1 ?! K* n' f2 M5 Q; ~1 H7 t1 s. O
此外,Ose还表示,GitHub已经发布了首个研究人员捐赠,也是他们长期以来关注的一项举措。这项工作会为挖掘应用程序特定功能或领域的研究人员支付固定金额。当然,其他任何发现漏洞的人也能够通过漏洞赏金项目获得奖励。
* I& l9 a- P$ \1 f5 W* f8 B去年,GitHub还推出了私人漏洞补丁服务,让用户能够限制生产漏洞的影响范围。不仅如此,他们还进行了内部改进,以更有效进行漏洞分类和修复提交,并计划在今年进一步完善流程。
/ ]; A, F, c) c5 T4 H4 Q现在,GitHub希望进一步扩大2017年所取得成绩,推出更多私人奖励和研究补助金,以便在代码公开发布之前及之后引起大家的关注。该公司还计划在今年晚些时候,推出额外的奖励计划。' o7 c0 c o6 `0 v% t
Ose总结道:“鉴于漏洞赏金项目取得了成功,我们现在正考虑如何扩大其范围,为我们的生产服务提供更多帮助,同时保护整个GitHub生态系统。我们很期待下一步工作,并且会在今年对提交的漏洞内容进行分类和修正。”& i0 T. C u G$ I, O& {. A
GitHub 2017年为漏洞支出105万元:翻一番还多
|
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
