程式码平台 Github 宣布将扩大其漏洞悬赏计划,不只提高了奖励金额还取消了奖金的上限。除了奖金调高之外,Github 还特别为悬赏计划的参与者增加了法律免责条款,让参与者不会因为要寻找系统漏洞而吃上官司。
Github 透露在 2018 年已经透过各种赏金计划向安全研究人员发放超过 25 万美元,其中光是公开的漏洞悬赏计划就发放了 16.5 万美元。Github 在 2014 年 1 月首度推出漏洞悬赏计划,现在 Github 还打算扩大计划范围并发出更多奖金。GitHub 的漏洞悬赏计划将扩展到整个 github.com 的网域,包括 GitHub Education、GitHub Learning Lab、GitHub Jobs 和 GitHub Desktop 等,并提高了所有等级的奖金金额。
发现最严重的安全漏洞可以获得 2 万到 3 万美元甚至更高的奖金,高级的安全漏洞则提供 1 万到 2 万美元的奖金,发现中等的安全漏洞可以得到 4,000 到 1 万美元的奖金,找到最初阶的安全漏洞也能获得 617 到 2,000 美元。GitHub 表示,找出最严重的安全漏洞参与者基本上可以得到 2 万到 3 万美元,不过保留对真正前端的研究给予更丰厚奖励的权利。GitHub 指出,取消奖金上限并不是因为背后有了资金雄厚的微软(Microsoft),不过显然有个富爸爸让他们发起奖金更有底气。
GitHub 为了保护悬赏计划参与者免于法律上的风险,进行了好几个月的法律研究,在网站上新增了 3 项法律条款。GitHub 将不会对参与悬赏计划的人提起悬赏计划相关的诉讼,也会保护参与者免受第三方的法律风险,并豁免参与者在研究悬赏计划违反网站规范时的惩罚。GitHub 表示这些法律条款将提供其他组织自由使用,并自行修改为适合自家悬赏计划的版本。
- GitHub expands bug bounty program and removes maximum award limit
(首图来源:GitHub)
延伸阅读:
- 微软送礼不手软,GitHub 私人储存库免费用!
- 微软宣布完成收购 GitHub,10/29 上任的新 CEO 有 3 个目标
- GitHub 被微软收购引爆逃亡潮,大量开发者搬家到 GitLab
- 确定了!微软花 75 亿买下程式码社交共享平台 Github
