Nem fukarkodik a GitHub

​A GitHub 2016 óta több mint 1,5 millió dollárt fizetett ki sebezhetőségek feltárására szakosodott biztonsági kutatóknak.
 

A GitHub 2016-ban döntött úgy, hogy a HackerOne platformon keresztül lehetőséget ad hibavadászatra mind privát, mind publikus programok keretében. A kezdeményezés bevált, hiszen az évek során a fejlesztők rengeteg értékes információhoz jutottak, és számos sebezhetőséget sikerült még azelőtt megszüntetni, mielőtt még a feketekalapos hackerek lecsaphattak volna azokra.
 
2016 óta a GitHub összesen 1,5 millió dollárt költött a biztonsági kutatók jutalmazására. Tavaly több mint 200 sebezhetőség kapcsán fizetett ki összesen valamivel több mint félmillió dollárt.
 
A GitHub szerint 2020-ban összesen 1000 hibabejelentést kapott. 2019-hez képest ezek feldolgozása, kiértékelése és javítása jelentősen gyorsabbá vált. Míg 2019-ben átlagosan 13 óra telt el a hibabejelentések és az azokra adott első válaszreakciók között, addig ez tavaly 4 órára csökkent. A kutatók által feltárt sérülékenységek kiértékelése átlagosan egy napon belül megtörtént. A hibavadászok bankszámláján pedig átlagosan 24 napon belül jelent meg a jutalom abban az esetben, ha a hibabejelentéseik minden követelménynek megfeleltek.
 
Az üzemeltetők a tavaly feltárt sérülékenységek közül azt emelték ki, amelyet William Bowling kutató fedezett fel. Ez a rendellenesség 10 ezer dollárt ért, és egy open redirect problémára világított rá, ami a GitHub bejelentkezések manipulálására adott módot.
 
A GitHub jelezte, hogy tovább folytatja a hibavadász programjának megerősítését. Az elmúlt hetekben egy újabb belső csapat is megkezdte ténykedését annak érdekében, hogy a sérülékenységi bejelentésekre adott reakciók még hatékonyabbá és gyorsabbá váljanak.