GitHub, платформа для разработчиков программного обеспечения, опубликовала отчет о девятом годе работы своей программы поощрения за обнаружение уязвимостей Security Bug Bounty.
Программа поощрения за обнаружение уязвимостей GitHub запущена в 2014 году. Она позволяет независимым исследователям и этическим хакерам находить и сообщать о слабых местах в продуктах и сервисах GitHub, получая за это денежные вознаграждения. Таким образом, GitHub сотрудничает с талантливыми специалистами по безопасности, чтобы обеспечить защиту своих пользователей и сообщества от киберугроз.
В 2022 году программа поиска уязвимостей GitHub достигла новых высот. Вот некоторые цифры:
- За 364 найденных уязвимости компания выплатила $1 576 364, что повысило общую сумму выплат с 2016 года до $3 839 287.
- Получено 2 042 отчета о потенциальных уязвимостях, из которых 52% были признаны действительными.
- В июне 2022 года совместно с HackerOne провели мероприятие по поиску уязвимостей в коде GitHub. Всего участие приняли 45 хакеров из 19 стран мира, а само мероприятие прошло в Остине.
- Запущен новый магазин сувениров, где участники программы могут получать бонусы в виде фирменных вещей за свои отчеты.
- Количество участников программы выросло на 21%, а количество отчетов от новичков – на 58%.
Одним из интересных нововведений в программе стало частичное раскрытие информации об уязвимостях, которые получили CVE (Common Vulnerabilities and Exposures) – общедоступный реестр уязвимостей. Теперь GitHub публикует некоторые детали об уязвимостях, найденных в GitHub Enterprise Server (GHES) – версии GitHub для корпоративных клиентов – и в проектах с открытым исходным кодом. В будущем GitHub планирует раскрывать больше отчетов через платформу HackerOne.
Представители GitHub призвали опытных разработчиков принимать активное участие в программе Security Bug Bounty. Также команда объявила, что следующий год будет юбилейным для программы – ей исполнится 10 лет, и уже готовятся специальные мероприятия и конференции.