В 2016 году GitHub заплатил в общей сложности 817 000 долл. США, а общие расходы прошлого года, по-видимому, более чем удвоились, что почти эквивалентно общим расходам за предыдущие три года (177 000 долл. США). В течение двух лет 2014 и 2015 годов они коллективно Платные $ 953 000 в бонусах.
В 2017 году GitHub получил в общей сложности 840 сообщений об уязвимостях, но только 15% (около 121) от окончательного решения проблемы и бонусов.
В 2016 году GitHub получил в общей сложности 795 отчетов об уязвимостях. В конце концов, только 73 из них были вознаграждены, из которых только 48 действительных отчетов были в конечном итоге перечислены на главной странице программы ваучеров.
Увеличение количества эффективных отчетов способствовало увеличению общих расходов, что также привело к переоценке GitHub его платежной структуры в октябре прошлого года. В результате бонусы удвоились с минимальным бонусом в размере 555 долларов США и максимальным бонусом до 20 000 долларов США.
Грег Осе из GitHub отметил, что с участием проектов масштабы планов и исследователей продолжали расти. В прошлом году это был год, который принес наибольшее вознаграждение.
Кроме того, они также представили GitHub Enterprise в программу уязвимостей, которая позволяет исследователям найти дыры в некоторых нераскрытых или конкретных развертываниях предприятия на платформе GitHub.com.
Осе сказал: «В начале прошлого года появилось множество отчетов об уязвимостях, связанных с нашими корпоративными методами сертификации, что также побудило нас обратить внимание на эту проблему внутри, и мы также изучаем, как заставить исследователей также обратить внимание на эту функцию.
Кроме того, Осе также заявила, что GitHub выпустила пожертвование первых исследователей, что также является долговременной проблемой для них. Эта работа будет платить фиксированную сумму для исследователей, которые изучают специфические для приложения функции или области. Конечно, любые другие выводы Уязвимые люди также могут быть вознаграждены за уязвимость.
В прошлом году GitHub также представил частную службу патчей уязвимостей, которая позволяет пользователям ограничивать масштабы производственных уязвимостей. Кроме того, они также внесли внутренние улучшения для более эффективной классификации и исправления заявок и планов дальнейшего улучшения процесса в этом году.
Теперь GitHub надеется на дальнейшее расширение своих достижений в 2017 году и запуск более частных вознаграждений и грантов на исследования, чтобы привлечь внимание всех до и после публичного выпуска кода. Компания также планирует запустить дополнительные планы вознаграждения в конце этого года. ,
Ose заключает: «Учитывая успех программы бонусов за уязвимость, мы сейчас рассматриваем вопрос о том, как расширить ее сферу деятельности, чтобы предоставить дополнительную помощь нашим производственным услугам, защищая всю экосистему GitHub. Мы с нетерпением ждем следующего шага и будем В этом году классификация и пересмотр содержания представленной уязвимости ».