GitHub 獎金計劃 3 週年 提供額外獎金

GitHub 於 2014 年推出賞金計劃，獎勵那些幫助GitHub增加安全性，找到漏洞的人，來到 2017 年，是該計劃的 3 週年，GitHub 將會為在 1 月及 2 月期間提交的漏洞提供額外獎金。

於過去 2 年 GitHub 共收到 102 個提交項目，支付 95, 300 美元，而 GitHub 更指出，單是去年便為 73 個提交項目，支付了 81, 700 美元。

在眾多提交的項目中，Ose，GitHub 應用安全工程師認為在 2014 年 2 月提交的一個有關 GitHub 主站出現的跨網站指令碼 （Cross-Site-Scripting, XSS) 漏洞最為突出。「當時 GitHub 主站是沿用 CSP 加強安全，而且是針對防止 XSS 的，而該提交不但示範提交者如何在 GitHub.com 中內容放入漏洞，還詳細指出如何繞過我們（當時有）的 CSP，並允許執行 JavaScript。」

此提交後，GitHub 修復該問題，並使用該漏洞作為示例，以鎖定 CSP 強制實施的限制，並實施新的瀏覽器安全功能。

3 週年紀念比賽
3 週年紀念比賽會於即日起開始，到今年的 2 月 28 日完結。獎金會給予發現最嚴重的漏洞，第一名可以得到 12000 美元，第二名可以得到 8000 美元，第三名則有 5000 美元。此外，也有額外獎金 5000 美元予最佳報告。Ose 表示有時提交的報告不一定發現最嚴重的問題，但他們撰寫的報告寫得很詳細，或是很特別。這 5000 美元獎金就是為他們而設。

將獎金計劃擴大
Ose 表示他們期望在應用方面及參與度方面繼續擴大獎金計劃。例如在今年1月，獎金計劃便已擴大到 GitHub 企業平台（GitHub Enterprise），讓安全研究人員也可以觸及。

GitHub 獎金計劃現在位於 HackerOne 平台上，但 Bounty.github.com 仍然保留排名榜及提交項目的要求。