抓漏不遺餘力!GitHub擴大漏洞賞金計劃 獎金無上限
▲GitHub在2018年已透過各種賞金計劃向安全研究人員發放超過25萬美元。(示意圖/CFP)
程式碼平臺Github宣佈將擴大其漏洞賞金計劃,不僅取消了獎金金額上限,還在其政策中增加了法律免責條款,讓餐與者無須因尋找系統漏洞而吃上官司。
科技網站VentureBeat報導,GitHub於2014年1月首度推出了漏洞賞金計劃。過去5年來,該公司逐步擴大了計劃並提高獎金。GitHub透露其在2018年已透過各種賞金計劃向安全研究人員發放超過25萬美元,其中光是公開的漏洞賞金計劃就向研究人員發放了16.5萬美元。
如今該公司打算進一步擴大計劃範圍併發出更多獎金。GitHub將漏洞賞金計劃擴展至整個github.com網域(包含GitHub Education、GitHub Learning Lab、GitHub Jobs及GitHub Desktop),企業雲端及面向員工的所有第一方服務下託管的所有第一方服務。
獎金增加是對GitHub產品中發現安全漏洞的一種獎勵,「對研究人員來說這變得愈來愈困難,他們的努力應得到獎勵。」其中,發現關鍵漏洞可獲得2萬至3萬美元以上,高級的安全漏洞則可獲得1萬至2萬美元,中級爲4千至1萬美元,而找到最初階的安全漏洞則可獲得617美元至2千美元。針對所謂「3萬美元以上」的說法,GitHub指出將不再設立獎金金額上限,3萬美元是個方針,但GitHub「保留對真正前端的研究給予更豐厚獎勵的權利」。
微軟去年中旬豪砸75億美元收購GitHub,是否對GitHub取消獎金金額上限方面發揮了作用?對此GitHub發言人否認,但表示若母公司資金雄厚,也沒有什麼壞處。
爲了確保漏洞賞金計劃的參與者能無後顧之憂,GitHub進行了好幾個月的法律研究,最終在網站上新增了3項法律條款。這些條款指出,GitHub將不會對參與計劃者提起與漏洞賞金計劃相關的訴訟,且該公司將盡最大努力保護參與者免受第三方法律風險,且豁免參與者在研究漏洞賞金計劃違反網站規範時的懲罰。
GitHub爲這些保護措施感到自豪,「其他組織可以將這些條款視爲保護網的最佳實踐標準,我們鼓勵其他組織自由使用,並自行修改爲適合自家賞金計劃的版本。」