GitHub 獎金計劃 3 週年 提供額外獎金

GitHub 於 2014 年推出賞金計劃,獎勵那些幫助GitHub增加安全性,找到漏洞的人,來到 2017 年,是該計劃的 3 週年,GitHub 將會為在 1 月及 2 月期間提交的漏洞提供額外獎金。

於過去 2 年 GitHub 共收到 102 個提交項目,支付 95, 300 美元,而 GitHub 更指出,單是去年便為 73 個提交項目,支付了 81, 700 美元。

在眾多提交的項目中,Ose,GitHub 應用安全工程師認為在 2014 年 2 月提交的一個有關 GitHub 主站出現的跨網站指令碼 (Cross-Site-Scripting, XSS) 漏洞最為突出。「當時 GitHub 主站是沿用 CSP 加強安全,而且是針對防止 XSS 的,而該提交不但示範提交者如何在 GitHub.com 中內容放入漏洞,還詳細指出如何繞過我們(當時有)的 CSP,並允許執行 JavaScript。」

此提交後,GitHub 修復該問題,並使用該漏洞作為示例,以鎖定 CSP 強制實施的限制,並實施新的瀏覽器安全功能。

3 週年紀念比賽
3 週年紀念比賽會於即日起開始,到今年的 2 月 28 日完結。獎金會給予發現最嚴重的漏洞,第一名可以得到 12000 美元,第二名可以得到 8000 美元,第三名則有 5000 美元。此外,也有額外獎金 5000 美元予最佳報告。Ose 表示有時提交的報告不一定發現最嚴重的問題,但他們撰寫的報告寫得很詳細,或是很特別。這 5000 美元獎金就是為他們而設。

將獎金計劃擴大
Ose 表示他們期望在應用方面及參與度方面繼續擴大獎金計劃。例如在今年1月,獎金計劃便已擴大到 GitHub 企業平台(GitHub Enterprise),讓安全研究人員也可以觸及。

GitHub 獎金計劃現在位於 HackerOne 平台上,但 Bounty.github.com 仍然保留排名榜及提交項目的要求。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *