В GitHub выплатили исследователям уже более 1,5 миллионов долларов за информацию об уязвимостях
#уязвимость
В GitHub выплатили исследователям уже более 1,5 миллионов долларов за информацию об уязвимостях

Сервис хостинга и совместной разработки IT-проектов GitHub поделился информацией о работе своей программы премирования исследователей за найденные уязвимости (Bug Bounty Program). Эта программа была запущена сервисом еще в 2016 году. За прошедшие годы исследователям было выплачено в общей сложности 1 552 004 доллара. При этом в GitHub назвали минувший год абсолютно рекордным на протяжении всей истории программы. В ходе 2020 года было получено 1066 сообщений об уязвимостях, которые помогли исправить 203 и принесли авторам в общей сложности 524 250 долларов. Столь щедрый «урожай» в сервисе связывают как с появлением у многих специалистов свободного времени из-за вызванных пандемией карантинных ограничений, так и с реальным ростом числа уязвимостей ПО вследствие все той же пандемии: торопясь перевести деятельность своих компаний в интернет, разработчики нередко допускают ошибки.

Максимальная сумма премии, выплачиваемой GitHub исследователям, составляет 30 тысяч долларов. Есть немало компаний, предлагающих существенно более щедрые награды, но и сам сервис, и его программа премирования традиционно имеют очень высокую репутацию у исследователей. Кстати, одна из причин этого состоит в том, что в программе от GitHub действует принцип «безопасной гавани» (Safe Harbor principle). Это означает, что специалисты, сообщившие об уязвимости, гарантированно не будут иметь неприятностей с законом – даже если их исследования были сопряжены с его нарушениями, что в этом бизнесе, будем откровенны, время от времени случается.