五周年庆:GitHub 漏洞奖励计划扩大范围提高赏金
编译:代码卫士团队
GitHub 在安全漏洞奖励计划正值五周年庆之际宣布推出一系列更新,包括扩大奖励产品涵盖范围、提高赏金以及更新法律安全港条款,为研究人员提供全面的法律保护。
GitHub 指出,2018年,公开漏洞奖励计划向安全研究员提供了16.5万美元的奖励,加上针对研究人员的补助金、私人漏洞奖励计划和现场黑客活动等,总赏金达到25万美元。
扩大产品涵盖范围
GitHub 正在提高符合条件的 GitHub 产品数量,针对的是在 github.com 域下托管的所有第一方服务中存在的漏洞:“这包括GitHub Education、GitHub Learning Lab、GitHub Jobs 和 GitHub Desktop 应用程序。虽然 GitHub Enterprise Server 自从2016年起就在范围内,但为了进一步提升企业客户的安全,我们现在也将 Enterprise Cloud 包含在内。”
另外,2019年的 GitHub 安全漏洞奖励计划将包含面向员工的 github.net 和 githubapp.com 域下的所有第一方服务,原因是“我们用户数据的安全也取决于我们员工和内部系统的安全”。
提高赏金
安全漏洞奖励计划中所有级别的漏洞赏金也得到增加,而且严重漏洞不再设置最高赏金限制,这使得GitHub 能够为“真正进行前沿研究”的安全研究人员们提供更多的补助。
GitHub 最新的赏金额为:
(1) 严重级别:2万—3万美元;
(2) 高危级别:1万—2万美元:
(3) 中危级别:4000—1万美元;
(4) 低危级别:617—2000美元
法律安全港条款
GitHub“在网站策略中增加了强大的法律安全港条款”,旨在让安全研究员始终感受到免于遭法律风险的影响。
新的法律安全港条款基于 EdOverflow 的法律漏洞奖励报告,对Dropbox 已更新的漏洞披露策略最佳实践安全港案例、Amit Elazaril 研究和 Bugcrowd disclose.io 项目进行了增加和修改,也是和参与该计划的安全研究人员探讨的结果。
GitHub 更新后的法律安全港条款指出:
即使您不慎超越了我们的赏金计划范围,您的研究活动仍受保护和授权。
我们将竭尽所能保护您免受源自不会承担提供相同级别的安全港保护措施的第三方的法律风险。
如网站条款专为赏金研究设置,则不构成违反。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/github-updates-bug-bounty-program-with-expanded-scope-higher-rewards/
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。