GitHub 今天宣布扩大 BUG 悬赏项目的规模,并且不再设置赏金上限。这家隶属于微软的代码托管网站宣布增加奖励金额,并且在策略中新增了 Legal Safe Harbor(法律安全港)条款。GitHub 还透露在 2018 通过公开的赏金计划、研究专项拨款、私有赏金计划和 live-hacking 活动总共支付了超过 25 万美元的奖金,其中通过公开赏金计划向安全研究专家支付了 16.5 万美元。
Image Credit: stuntguy3000/Flickr GitHub 于 2014 年 1 月推出了 BUG 赏金计划,在过去五年的发展中规模不断扩大,赏金的上限不断增加。不过今天 GitHub 宣布进一步扩大 BUG 赏金规模,涵盖托管在 github.com 下的所有官方服务(GitHub Education, GitHub Learning Lab, GitHub Jobs 和 GitHub Desktop),Enterprise Cloud,以及面向企业员工 githubapp.com 以及 github.net 下的所有官方服务。 由于发现漏洞的难度不断提升,GitHub 也提升了各个级别漏洞的赏金金额。具体调整如下
其中关键级漏洞中“30,000 美元+”中的“+”,意味着 GitHub 额不再设置关键级漏洞的赏金上限。3 万美元只是一个指导价格,这家隶属于微软的公司会根据漏洞的危险级别并综合其他信息可能会给予更多的赏金。 |