En 2016, GitHub a payé un total de 817 000 $ US, et les dépenses totales de l'année dernière ont apparemment plus que doublé, soit presque le même montant que les dépenses totales des trois années précédentes (177 000 $ US). J'ai payé 953 000 $ en primes.
En 2017, GitHub a reçu un total de 840 rapports de vulnérabilité, mais seulement 15% (environ 121) du règlement final du problème et des bonus gagnants.
2016, GitHub a reçu un total de 795 soumissions des rapports de vulnérabilité et, en fin de compte, récompense seulement 73 exemplaires, dont seulement 48 étaient valides rapport final sur les vulnérabilités sont répertoriées dans la page d'accueil du projet de primes.
Augmenter le nombre de rapports valides ont contribué à une augmentation des dépenses totales, mais aussi conduit à une réévaluation de sa structure de paiement GitHub en Octobre l'année dernière. En conséquence, le prix a doublé, le plus bas prix de 555 $, l'argent le plus élevé de prix allant jusqu'à 20 000 $.
Greg Ose de GitHub a fait remarquer que, avec les participants au projet, la taille des programmes et le personnel de recherche a augmenté l'année dernière, est de loin les plus importants paiements de primes par an.
Non seulement cela, ils ont également présenté GitHub Enterprise dans un programme de primes de vulnérabilité qui permet aux chercheurs de trouver des trous dans certains déploiements d'entreprise non divulgués ou spécifiques sur la plate-forme GitHub.com.
Ose a déclaré: "Au début de l'année dernière, beaucoup de rapports de vulnérabilité liés à nos méthodes de certification d'entreprise, qui nous ont également incités à faire attention à ce problème en interne, et nous étudions également comment faire attention aux chercheurs.
En outre, Ose a également déclaré que GitHub a publié le premier don des chercheurs, qui est également une préoccupation à long terme pour eux.Ce travail paiera un montant fixe pour les chercheurs qui explorent des fonctions ou des domaines spécifiques à l'application. Les personnes vulnérables peuvent également être récompensées pour leurs vulnérabilités.
L'année dernière, GitHub a également lancé un service de patchs de vulnérabilités permettant aux utilisateurs de limiter la portée des failles de production, mais aussi de procéder à des améliorations internes afin de mieux classifier et corriger les bogues et d'améliorer encore le processus cette année.
Maintenant, GitHub espère élargir encore l'année des réalisations 2017, d'introduire des incitations plus privés et des subventions de recherche à notre attention et après le code avant la sortie publique. La société prévoit également cette année pour lancer un plan de bonus .
Ose conclut: «Étant donné le succès du programme de primes de vulnérabilité, nous envisageons maintenant d'élargir son champ d'action pour fournir plus d'aide à nos services de production tout en protégeant l'ensemble de l'écosystème GitHub. Classification et révision de cette année du contenu de la vulnérabilité soumise.