GitHub, vodeća svjetska platforma za razvoj softvera, slavi prekretnicu: 10. godišnjicu svog programa Security Bug Bounty.
Tokom protekle decenije, program nije samo poboljšao sigurnost GitHubovih usluga, već je i nagradio istraživače sigurnosti sa nevjerovatnih 4 miliona dolara u ukupnoj isplati.
Decenija prekretnica
Pokrenut 2014. godine, GitHub Security Bug Bounty program je dizajniran da se angažuje sa istraživačima sigurnosti kako bi identifikovali i prijavili ranjivosti kroz odgovoran proces otkrivanja.
Primarni cilj programa oduvijek je bio poboljšanje sigurnosti GitHub-ovih usluga uz uvažavanje napora istraživača uz novčanu nagradu.
- 2014 : Program je počeo da se fokusira na podskup GitHubovih proizvoda i usluga.
- GitHub je naglasio važnost povjerenja korisnika i potrebu za dodatnim očima za praćenje neuhvatljivih ranjivosti.
- 2016 : Nakon dvije godine korištenja domaćeg sistema baziranog na e-pošti, GitHub je prešao na HackerOne, vodeću platformu za prikupljanje grešaka, kako bi pojednostavio proces.
- 2017 : GitHub je povećao isplate i učestvovao u Hack the World događaju, nudeći duple bodove reputacije na HackerOne-u za greške pronađene na GitHubu.
- 2018 : Uvođenje zakonske politike sigurne luke pružilo je bolju zaštitu istraživačima, uklonivši potencijalne pravne barijere i ohrabrujući veće učešće
- 2019 : Program je zabilježio porast od 40% u prijavama i proširio svoj opseg kako bi uključio više proizvoda, kao što su GitHub Actions i GitHub Mobile.
- 2020 : GitHub-ov program je rangiran u HackerOne-ovih deset najboljih programa za nagrađivanje na osnovu kumulativnih dodijeljenih nagrada, vremena do nagrade i broja riješenih izvještaja o ranjivosti.
- 2021 : GitHub je prikupio preko 64.000 dolara donacija istraživača, podržavajući dobrotvorne organizacije kao što su Cancer Research UK i Greater Pittsburgh Community Food Bank.
- 2022 : Lansiranje GitHub Bug Bounty trgovine s swagovima omogućilo je istraživačima da zarade robu poput majica, boca za vodu i novčane nagrade.
- 2023 : GitHub je isplatio svoju najveću pojedinačnu nagradu do sada, 75.000 dolara, i premašio 4 miliona dolara ukupne nagrade.
Pregled 2023. godine
GitHub se 2023. fokusirao na povećanje transparentnosti, povećanje javnih i privatnih programa i širenje prisustva u zajednici.
Povećanje transparentnosti :
GitHub je radio na razumijevanju uobičajenih tema povratnih informacija i implementirao promjene kako bi osigurao jasne i detaljne odgovore istraživačima.
Uvođenje ograničenog otkrivanja izvještaja o HackerOne-u bio je značajan korak ka transparentnosti.
Programi rasta :
GitHub je vodio nekoliko privatnih angažmana sa svojim članovima VIP programa, poznatim kao Hacktocats.
Ovi angažmani uključivali su testiranje novih funkcija poput PATs v2 putem GraphQL-a i GitHub Copilot Chata.
Javni program je također doživio stabilan rast, s novim proizvodima i funkcijama koje su redovno dodavane u opseg.
Prisustvo u zajednici:
GitHubov bounty tim prisustvovao je konferencijama širom Sjedinjenih Država, Kanade i Argentine, predstavljajući relevantne teme i održavajući sastanke.
Značajne prezentacije uključivale su “Life of a Bug” na Bsides SF i “Building a Great Bounty Program” na DEFCON-u.
GitHub se također udružio s Capital One i HackerOne kako bi kreirao Glass Firewall, konferenciju koja ima za cilj povećanje zastupljenosti žena u sigurnosti.
Dok GitHub slavi ovu prekretnicu, kompanija ostaje posvećena poboljšanju sigurnosti svojih usluga i podršci istraživačkoj zajednici.
Sa planovima za dalje unapređenje transparentnosti, povećanje svojih programa i proširenje angažmana zajednice, GitHub-ov Bug Bounty program je spreman za nastavak uspjeha u narednim godinama.
GitHub-ova posvećenost sigurnosti i pristup saradnji sa istraživačkom zajednicom postavili su visoke standarde u industriji.
Kako program ulazi u drugu deceniju, budućnost izgleda obećavajuće i za GitHub i za globalnu zajednicu istraživača sigurnosti.
Izvor: CyberSecurityNews