2016, GitHub pagado un total de $ 817.000, mientras que el gasto total del año pasado al parecer ha más que duplicado, casi equivalente al gasto total de los tres años anteriores (US $ 177.000). En 2014 y 2015 dos años, son del todo Pagó $ 953,000 en bonos.
2017, GitHub recibieron un total de 840 presentaciones de informes de errores de copias, pero en última instancia, resolver el problema y obtener la relación de bonificación de sólo el 15% (alrededor de 121 copias).
En 2016, GitHub recibió un total de 795 presentaciones de informes de vulnerabilidad. Al final, solo 73 de ellas fueron recompensadas. De estas, solo 48 informes válidos finalmente se incluyeron en la lista de la página de inicio del Programa de cupones.
El aumento en el número de informes efectivos contribuyó al aumento en los gastos totales, lo que también llevó a la reevaluación de GitHub de su estructura de pago en octubre del año pasado. Como resultado, las bonificaciones se han duplicado, con la bonificación mínima de $ 555 y la bonificación máxima de hasta $ 20,000.
Greg Ose, de GitHub, señaló que con la participación de proyectos, la escala de planes e investigadores ha seguido aumentando. El año pasado fue el año que pagó más recompensas.
No solo eso, también introdujeron GitHub Enterprise en un programa de recompensas de vulnerabilidades que permite a los investigadores encontrar agujeros en algunas implementaciones empresariales no reveladas o específicas en la plataforma GitHub.com.
Ose dijo: "A principios del año pasado, muchos informes de errores se relacionaban con nuestros métodos de certificación corporativa, lo que también nos llevó a tener que prestar atención a este problema internamente, y también estamos estudiando cómo hacer que los investigadores también presten atención a esta función.
Además, Ose también declaró que GitHub ha lanzado su primera donación de investigación y es una iniciativa en la que se han enfocado durante mucho tiempo. Este trabajo pagará una cantidad fija de dinero para los investigadores que están explorando funciones o áreas específicas de la aplicación. Por supuesto, cualquier otro hallazgo Las personas vulnerables también pueden ser recompensadas por las vulnerabilidades.
El año pasado, GitHub también lanzó un servicio privado de parches de vulnerabilidad que permite a los usuarios limitar el alcance de las vulnerabilidades de producción. No solo eso, también llevaron a cabo mejoras internas para clasificar y enviar propuestas de manera más efectiva, y planea mejorar el proceso este año.
Ahora, GitHub espera ampliar aún más 2017 años de logros, introducir incentivos más privadas y becas de investigación a nuestra atención y después el código antes del lanzamiento público. La compañía también tiene previsto a finales de este año para poner en marcha un plan de bonificación .
Ose concluyó: 'Teniendo en cuenta la vulnerabilidad de proyecto recompensa fue un éxito, ahora estamos considerando la forma de ampliar su alcance para proporcionar más ayuda para nuestros servicios de producción, al tiempo que protege todo el ecosistema GitHub Estamos mirando adelante a la siguiente etapa, y la voluntad. La clasificación y revisión de este año del contenido de la vulnerabilidad presentada. '