雷鋒網(wǎng)消息，美國時(shí)間 3 月 16 日，據(jù)外媒報(bào)道，去年，GitHub 向安全研究人員支付了總計(jì) 166495 美元的獎(jiǎng)勵(lì)，針對(duì) GitHub 這個(gè)為期四年的“漏洞賞金”項(xiàng)目，安全研究人員會(huì)上報(bào)自己發(fā)現(xiàn)的系統(tǒng)問題和漏洞。

2016 年，GitHub 一共支付了8.17萬美元，而去年的支出總額顯然已經(jīng)翻了一倍多。在 2014 和 2015 兩年時(shí)間里，他們一共支付了9.53萬美元的獎(jiǎng)金。

雷鋒網(wǎng)了解到，2017 年，GitHub 一共收到了 840 份漏洞報(bào)告意見書，但是最終解決問題并獲得獎(jiǎng)金的比例只有15%（約121份）。2016年，GitHub 共收到了 795 份漏洞報(bào)告意見書，最終獲得獎(jiǎng)勵(lì)的只有 73 份，而其中只有 48 份有效報(bào)告最終被羅列在了漏洞賞金項(xiàng)目的主頁上。

有效報(bào)告的數(shù)量上升推動(dòng)了總支出的增加，也導(dǎo)致了 GitHub 在去年十月重新評(píng)估其支付結(jié)構(gòu)。結(jié)果就是，獎(jiǎng)金增加了一倍，其中最低獎(jiǎng)金為 555 美元，最高獎(jiǎng)金高達(dá) 20000 美元。

GitHub 的 Greg Ose 指出，隨著參與的項(xiàng)目、計(jì)劃和研究人員規(guī)模不斷增加，去年是迄今為止支付賞金最多的一年。不僅如此，他們還把 GitHub Enterprise 引入到漏洞賞金項(xiàng)目之中，讓研究人員能夠在 GitHub.com 平臺(tái)上一些未公開的、或是特定于某個(gè)企業(yè)部署的領(lǐng)域里找到漏洞。Ose說道：

“去年年初，很多漏洞報(bào)告涉及到了我們的企業(yè)認(rèn)證方法，這也促使我們不得不在內(nèi)部關(guān)注這個(gè)問題，而且我們也在研究如何讓研究人員也關(guān)注這個(gè)功能?！?/p>

此外，Ose還表示，GitHub 已經(jīng)發(fā)布了首個(gè)研究人員捐贈(zèng)，也是他們長期以來關(guān)注的一項(xiàng)舉措。這項(xiàng)工作會(huì)為挖掘應(yīng)用程序特定功能或領(lǐng)域的研究人員支付固定金額。當(dāng)然，其他任何發(fā)現(xiàn)漏洞的人也能夠通過漏洞賞金項(xiàng)目獲得獎(jiǎng)勵(lì)。

去年，GitHub 還推出了私人漏洞補(bǔ)丁服務(wù)，讓用戶能夠限制生產(chǎn)漏洞的影響范圍。不僅如此，他們還進(jìn)行了內(nèi)部改進(jìn)，以更有效進(jìn)行漏洞分類和修復(fù)提交，并計(jì)劃在今年進(jìn)一步完善流程。

現(xiàn)在，GitHub 希望進(jìn)一步擴(kuò)大 2017 年所取得成績，推出更多私人獎(jiǎng)勵(lì)和研究補(bǔ)助金，以便在代碼公開發(fā)布之前及之后引起大家的關(guān)注。該公司還計(jì)劃在今年晚些時(shí)候，推出額外的獎(jiǎng)勵(lì)計(jì)劃。Ose總結(jié)道：

“鑒于漏洞賞金項(xiàng)目取得了成功，我們現(xiàn)在正考慮如何擴(kuò)大其范圍，為我們的生產(chǎn)服務(wù)提供更多幫助，同時(shí)保護(hù)整個(gè)GitHub生態(tài)系統(tǒng)。我們很期待下一步工作，并且會(huì)在今年對(duì)提交的漏洞內(nèi)容進(jìn)行分類和修正。”

雷鋒網(wǎng)VIA securityweek

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。