Популярный среди программистов сайт Github запустил программу вознаграждений за найденные уязвимости. Идея такая же, как и в остальных таких программах: стимулировать специалистов по безопасности искать баги и сообщать о них разработчикам, а не использовать во вред.
В зависимости от опасности уязвимости вознаграждение составит от $100 до $5000. Это не очень большие деньги, но вполне нормальная сумма для небольшого сайта, эксплоит для которого все равно не принесет особой финансовой выгоды.
Разработчики приводят пример. Скажем, вы нашли XSS, которая работает только в браузере Opera, а его используют менее 2% посетителей Github. В этом случае опасность мала, и вознаграждение выплатят по минимуму. Если же XSS работает в Chrome (более 60% профессиональных разработчиков используют этот браузер), то награда окажется гораздо выше.
Список сервисов, в которых предлагают искать уязвимости.
- GitHub API
- GitHub Gist
- GitHub.com
Вознаграждения перечисляются через PayPal и только после заполнения соответствующих налоговых документов: форма W9 для граждан США и форма W8_BEN для остальных. Участвовать могут хакеры в возрасте от 13 лет. Кроме денег, авторам уязвимостей будут давать очки с занесением на доску почета.
