GitHub обновил программу bug bounty, которой в этом году исполнилось пять лет, а также увеличил награду программистам, нашедшим проблемы в сервисе, пишет VentureBeat.
Как и прежде, по степени серьёзности баги делятся на 4 группы. За критическую уязвимость исследователи могут получить от $20 до $30+ тысяч; за баг, чья опасность оценена как «высокая» — от $10 тысяч до $20 тысяч, как «средняя» — от $4 тысяч до $10 тысяч, а наименее опасные уязвимости принесут баг-хантерам от $617 до $2 тысяч.
К слову, верхнего порога выплат на GitHub больше нет. «+» после $30 тысяч указывает на то, что сервис согласен заплатить гораздо больше за «действительно стоящее исследование».
Кроме того, теперь программа охватывает все сервисы платформы с доменом github.com (GitHub Education, GitHub Learning Lab, GitHub Jobs и GitHub Desktop), Enterprise Cloud, а также внутренние домены githubapp.com и github.net. Наконец, GitHub дополнил условия Legal Safe Harbor, касающиеся защиты исследователей, которые в целях поиска багов нарушили отдельные правила платформы или третьих лиц.
В 2018 году GitHub выплатил исследователям безопасности свыше $250 тысяч в рамках открытой и закрытых программ по поиску уязвимостей, исследовательских грантов и специального мероприятия для хакеров. $165 тысяч из этой суммы выплачено через открытую программу.
GitHub заявил, что постоянно переоценивает размеры вознаграждений с оглядкой на другие компании в отрасли, а также что поиск более критических уязвимостей отнимает у исследователей больше усилий — и они должны быть достойно вознаграждены.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.