抓漏不遗余力!GitHub扩大漏洞赏金计划 奖金无上限
▲GitHub在2018年已透过各种赏金计划向安全研究人员发放超过25万美元。(示意图/CFP)
程式码平台Github宣布将扩大其漏洞赏金计划,不仅取消了奖金金额上限,还在其政策中增加了法律免责条款,让餐与者无须因寻找系统漏洞而吃上官司。
科技网站VentureBeat报导,GitHub于2014年1月首度推出了漏洞赏金计划。过去5年来,该公司逐步扩大了计划并提高奖金。GitHub透露其在2018年已透过各种赏金计划向安全研究人员发放超过25万美元,其中光是公开的漏洞赏金计划就向研究人员发放了16.5万美元。
如今该公司打算进一步扩大计划范围并发出更多奖金。GitHub将漏洞赏金计划扩展至整个github.com网域(包含GitHub Education、GitHub Learning Lab、GitHub Jobs及GitHub Desktop),企业云端及面向员工的所有第一方服务下托管的所有第一方服务。
奖金增加是对GitHub产品中发现安全漏洞的一种奖励,「对研究人员来说这变得愈来愈困难,他们的努力应得到奖励。」其中,发现关键漏洞可获得2万至3万美元以上,高级的安全漏洞则可获得1万至2万美元,中级为4千至1万美元,而找到最初阶的安全漏洞则可获得617美元至2千美元。针对所谓「3万美元以上」的说法,GitHub指出将不再设立奖金金额上限,3万美元是个方针,但GitHub「保留对真正前端的研究给予更丰厚奖励的权利」。
微软去年中旬豪砸75亿美元收购GitHub,是否对GitHub取消奖金金额上限方面发挥了作用?对此GitHub发言人否认,但表示若母公司资金雄厚,也没有什么坏处。
为了确保漏洞赏金计划的参与者能无后顾之忧,GitHub进行了好几个月的法律研究,最终在网站上新增了3项法律条款。这些条款指出,GitHub将不会对参与计划者提起与漏洞赏金计划相关的诉讼,且该公司将尽最大努力保护参与者免受第三方法律风险,且豁免参与者在研究漏洞赏金计划违反网站规范时的惩罚。
GitHub为这些保护措施感到自豪,「其他组织可以将这些条款视为保护网的最佳实践标准,我们鼓励其他组织自由使用,并自行修改为适合自家赏金计划的版本。」