Komoly pénzeket fizet a GitHub a hibavadászoknak

A GitHub az évek során több mint egymillió dollárt fizetett azon hibavadászoknak, akik biztonsági réseket tártak fel a különféle rendszereiben.
 

A GitHub is abba a csoportba tartozik, amelynek képviselői előszeretettel vesznek igénybe külső segítséget a rendszereik biztonságának fokozása érdekében. Azok a cégek, amelyek már indítottak hibavadászatot, többnyire pozitívan nyilatkoznak e kezdeményezésekről, és azt is gyakorta látjuk, hogy ezeket a programokat újabb és újabb szoftverekre, szolgáltatásokra terjesztik ki.
 
A hibavadászatról a GitHub képviselői is hasonlóan pozitív véleményeket fogalmaztak meg. A GitHub 2014 februárja óta fogadja a külső kutatót hibabejelentéseit. 2016 óta pedig a HackerOne platformon keresztül kapja az értesítéseket a különféle biztonsági résekről, amelyekért természetesen jutalmat is ad. Összességében nem is keveset, hiszen 2014 óta több mint egymillió dollárt fizetett ki a hibavadászoknak. Tavaly 590 ezer dollárt osztott ki.
 
A GitHub statisztikája azt mutatja, hogy a sérülékenységekkel kapcsolatos bejelentések száma évről évre emelkedik. Ennek ellenére örömteli hír, hogy átlagosan 17 óra alatt válaszol az etikus hackerek észrevételeire, és a lehető leghamarabb megkezdi a biztonsági rések befoltozását.
 
Az üzemeltetők 2019 kapcsán két sebezhetőséget emeltek ki. Az egyik egy OAuth-tal összefüggő, súlyos biztonsági rendellenesség volt, ami jogosulatlan hozzáférésekhez járulhatott volna hozzá, ha rossz kezekbe kerül. Ezt a sérülékenységet a fejlesztők a bejelentéstől számított három órán belül megszüntették, és egyben a felfedezőt 25 ezer dolláros jutalomban részesítették. Egy másik, szintén tavaly feltárt sebezhetőség pedig jogosulatlan távoli kódfuttatásra, valamint parancsbefecskendezésre adott lehetőséget.
 
Bővülő céltábla
 
A bejelentett sérülékenységek száma nem kizárólag azért növekszik, mert az etikus hackerek mind több erőforrást áldoznak a GitHub-féle hibavadászatra, hanem azért is, mert a GitHub egyre több megoldását teszi vizsgálhatóvá. Vagyis folyamatosan vonja be a biztonsági programjába az új szolgáltatásait. Egyes esetekben még azon rendszereit is tesztelteti, amelyek a nagy nyilvánosság számára még nem elérhetők. Igaz ekkor csak egy privát hibavadász programon keresztül lehet hackerkedni, amely meghívásos alapon működik.