Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
17.08.2023

GitHub и хакеры: история успеха в цифрах, нововведения и планы на десятилетие

GitHub , платформа для разработчиков программного обеспечения, опубликовала отчет о девятом годе работы своей программы поощрения за обнаружение уязвимостей Security Bug Bounty .

Программа поощрения за обнаружение уязвимостей GitHub запущена в 2014 году. Она позволяет независимым исследователям и этическим хакерам находить и сообщать о слабых местах в продуктах и сервисах GitHub, получая за это денежные вознаграждения. Таким образом, GitHub сотрудничает с талантливыми специалистами по безопасности, чтобы обеспечить защиту своих пользователей и сообщества от киберугроз.

В 2022 году программа поиска уязвимостей GitHub достигла новых высот. Вот некоторые цифры:

  • За 364 найденных уязвимости компания выплатила $1 576 364, что повысило общую сумму выплат с 2016 года до $3 839 287.
  • Получено 2 042 отчета о потенциальных уязвимостях, из которых 52% были признаны действительными.
  • В июне 2022 года совместно с HackerOne провели мероприятие по поиску уязвимостей в коде GitHub. Всего участие приняли 45 хакеров из 19 стран мира, а само мероприятие прошло в Остине.
  • Запущен новый магазин сувениров, где участники программы могут получать бонусы в виде фирменных вещей за свои отчеты.
  • Количество участников программы выросло на 21%, а количество отчетов от новичков - на 58%.

Одним из интересных нововведений в программе стало частичное раскрытие информации об уязвимостях, которые получили CVE (Common Vulnerabilities and Exposures) - общедоступный реестр уязвимостей. Теперь GitHub публикует некоторые детали об уязвимостях, найденных в GitHub Enterprise Server (GHES) - версии GitHub для корпоративных клиентов - и в проектах с открытым исходным кодом. В будущем GitHub планирует раскрывать больше отчетов через платформу HackerOne.

Представители GitHub призвали опытных разработчиков принимать активное участие в программе Security Bug Bounty. Также команда объявила, что следующий год будет юбилейным для программы - ей исполнится 10 лет, и уже готовятся специальные мероприятия и конференции.