Спустя почти год после запуска программы выдачи вознаграждений за поиск багов представитель GitHub заявил, что было принято решение удвоить верхний порог награды, доведя его до $10 тыс.

В минувший четверг сотрудник GitHub Бен Тоуз (Ben Toews) сообщил, что с момента запуска программы GitHub Security Bug Bounty были обнаружены и впоследствии пропатчены 73 ранее неизвестные уязвимости.

«Из 1920 прошлогодних заявок 869 потребовали более детального рассмотрения, что в итоге помогло нам обнаружить и устранить уязвимости, попадавшие в 9 из 10 наиболее опасных категорий по классификации OWASP», — пишет Тоуз в блоге GitHub. Он добавил, что GitHub выдал 33 исследователям награду на общую сумму $50,1 тыс. за обнаружение ими 57 уязвимостей средней и высокой степени риска.

«Эксплойт некоторых присланных уязвимостей был крайне сложным и требовал творческого подхода», — отметил при этом Тоуз.

GitHub выплачивает вознаграждения за воспроизводимые баги, найденные в GitHub API, GitHub Gist и на сайте GitHub.com. Еще два дня назад сумма награды варьировалась от $100 до $5000 для каждого из этих приложений с открытым кодом. Поскольку API, например, открывает доступ ко многим функциям и данным на сайте, поиск уязвимостей в нем является приоритетным. Веб-сервис Gist, созданный на базе Ruby on Rails и других opensource-компонентов, позволяет разработчикам обмениваться фрагментами кода; сумма награды за найденные в нем уязвимости зависит от ряда факторов, пояснил представитель GitHub. Что же касается веб-сайта, то и тут вознаграждение зависит от разных факторов и рисков.

Программы поиска уязвимостей — это эффективный и экономичный способ, позволяющий организациям с ограниченными ресурсами обеспечить безопасность, открыв доступ к своим приложениям ИБ-исследователям, которые в свою очередь смогут помочь обнаружить и устранить наиболее опасные уязвимости. Более крупные организации, такие как Facebook, имеют свои внутренние системы вознаграждений. Например, в 2013 году соцсеть выплатила $1,5 млн за представленные отчеты о багах, а на следующий год эта сумма возросла почти на 250%.

Другие же организации пользуются услугами специализированных служб вроде BugCrowd и HackerOne, имеющих свои программы выплат за баги. Такие провайдеры, по сути, пользуются краудсорсингом для поиска и обработки данных об уязвимостях. Приложения проверяются на защищенность коллективными усилиями, и любой участник сообщества может получить вознаграждение за баг, соответствующий определенным критериям.

Из участников GitHub Bug Bounty Тоуз особо отметил Александра Добкина (Aleksandr Dobkin), одного из самых продуктивных искателей багов, обнаружившего неприятную XSS-уязвимость, которая в комбинации с 0-day в Google Chrome позволяет обойти политики защиты контента GitHub.

В рамках своей программы GitHub ведет список наиболее успешных баг-хантеров. По установленным правилам нашедшие уязвимость исследователи не имеют права на разглашение до выхода соответствующего патча. Им также нельзя пользоваться автоматическими сканерами или получать доступ к чужим аккаунтам.

Информацию об уязвимости в софте GitHub можно сообщить, заполнив специализированную форму на сайте компании и приложив документацию, позволяющую воспроизвести обнаруженный баг.

Категории: Уязвимости