Разработчики GitHub отпраздновали пятилетний юбилей своей программы вознаграждения за уязвимости, расширив ее на новые продукты и увеличив размеры вознаграждений. Разработчики рассказывают, что только в 2018 году ИБ-специлистам было выплачено более 165 000 долларов по программе bug bounty (более 250 000 долларов, если прибавить к этому гранты, результаты приватных bug bounty и «живых» хакинговых мероприятий).
Теперь программа вознаграждения за уязвимости будет распространяться на все сервисы, расположенные на домене github.com, включая GitHub Education, GitHub Learning Lab, GitHub Jobs, и GitHub Desktop, а также Enterprise Cloud. Плюс уязвимости теперь можно искать среди внутренних сервисов на github.net и githubapp.com. Представители GitHub подчеркивают: «защита данных наших пользователей зависит от защищенности наших сотрудников и внутренних систем».
Также были увеличены награды за баги:
- Критическая уязвимость — 20 000 – 30 000+ долларов;
- Уязвимость высокой опасности — 10 000 – 20 000 долларов;
- Уязвимость умеренной опасности — 4000 – 10 000 долларов;
- Уязвимость низкой опасности — 617 – 2000.
Кроме того, были переработаны правила и рекомендации Legal Safe Harbor, то есть подробный свод юридических правил и рекомендаций для исследователей, обеспечивающий правовую защиту и позволяющий экспертам заработать вознаграждение за баги, а не проблемы с законом во время их поисков.