В этом году команда GitHub отметила пятилетие программы вознаграждений за уязвимости. Разработчики дополнили ее новыми продуктами и повысили суммы выплат. За 2018 год ИБ-специалисты получили за свою работу около $165 тысяч. Если учесть исследовательские гранты, частные программы bug bounty и «живые» хакерские мероприятия, то общая сумма вознаграждений достигает $250 тысяч.
Отныне программа распространяется на весь домен github.com. Например GitHub Education, GitHub Learning Lab, GitHub Jobs, и GitHub Desktop, а также Enterprise Cloud. К тому же уязвимости можно искать во внутренних сервисах на github.net и githubapp.com. Представители компании заявляют, что «защита данных наших пользователей зависит от защищенности наших сотрудников и внутренних систем».
Суммы вознаграждений за ошибки теперь следующие:
- Критическая уязвимость — 20 000 – 30 000+ долларов;
- Уязвимость высокой опасности — 10 000 – 20 000 долларов;
- Уязвимость умеренной опасности — 4000 – 10 000 долларов;
- Уязвимость низкой опасности — 617 – 2000.
Помимо всего, был дополнительно проработан Legal Safe Harbor – юридический сборник правил и рекомендаций, который обеспечит исследователям легальность работы и возможность заработать вознаграждение, а не судебный иск.