Im Jahr 2016 zahlte GitHub insgesamt 817.000 US-Dollar, und die Gesamtausgaben des vergangenen Jahres haben sich mehr als verdoppelt, was fast den Gesamtausgaben der letzten drei Jahre entspricht (177.000 US-Dollar) Bezahlte Boni in Höhe von $ 953.000.
Im Jahr 2017 erhielt GitHub insgesamt 840 Berichte über Sicherheitslücken, aber nur 15% (etwa 121) der endgültigen Lösung des Problems und der Boni.
Im Jahr 2016 erhielt GitHub insgesamt 795 Vulnerabilitätsberichte, am Ende wurden nur 73 Auszeichnungen vergeben, von denen nur 48 auf der Homepage des Voucher-Programms gelistet wurden.
Der Anstieg der Anzahl effektiver Berichte trug zum Anstieg der Gesamtausgaben bei, was auch zu einer Neubewertung der Zahlungsstruktur von GitHub im Oktober letzten Jahres führte.Als Folge davon haben sich die Boni verdoppelt, mit einem Mindestbonus von 555 $ und einem maximalen Bonus von bis zu 20.000 $.
Greg Ose von GitHub wies darauf hin, dass mit der Teilnahme von Projekten der Umfang der Pläne und Forscher weiter zugenommen hat. Letztes Jahr war das Jahr, das bisher die meisten Belohnungen gezahlt hat.
Nicht nur, dass sie auch eingeführt GitHub Unternehmen in die Verwundbarkeit Belohnungsprogramm, so dass Forscher GitHub.com Plattform auf eine Reihe von stillen oder bestimmte Bereiche eines unternehmensweiten Einsatz, wo Lücken zu finden.
Ose sagte: ‚Anfang letztes Jahr, viele Fehlerberichte an unsere Unternehmensauthentifizierungsmethoden zusammen, die auch uns aufgefordert, auf diesem Problem intern konzentrieren, und wir untersuchen, wie Forscher über diese Funktion auch besorgt machen sind.‘
Darüber hinaus erklärte Ose, dass GitHub seine erste Forschungsspende veröffentlicht hat und eine Initiative ist, auf die sie sich seit langem konzentriert haben.Es wird für Forscher, die anwendungsspezifische Funktionen oder Bereiche untersuchen, eine bestimmte Summe an Geld zahlen Gefährdete Personen können auch für Schwachstellen belohnt werden.
Im vergangenen Jahr startete GitHub auch einen privaten Schwachstellen-Patch-Dienst, mit dem Benutzer den Umfang von Produktionsschwachstellen eingrenzen können und interne Verbesserungen vorgenommen haben, um Einreichungen effektiver zu klassifizieren und zu korrigieren, und plant, den Prozess in diesem Jahr weiter zu verbessern.
Jetzt hofft GitHub, seine Errungenschaften im Jahr 2017 weiter auszubauen und mehr private Prämien und Forschungszuschüsse zu veröffentlichen, um die Aufmerksamkeit aller zu erhalten, bevor und nachdem der Kodex öffentlich veröffentlicht wird. .
Ose resümiert: "Angesichts des Erfolgs des Anfälligkeits-Bounty-Programms überlegen wir uns nun, wie wir den Umfang erweitern können, um mehr Unterstützung für unsere Produktionsdienste zu bieten und gleichzeitig das gesamte GitHub-Ökosystem zu schützen. Wir freuen uns auf den nächsten Schritt Die diesjährige Klassifizierung und Überarbeitung des Inhalts der eingereichten Schwachstelle. "