写点什么

GitHub 的 bug 赏金计划升级:奖金提高到 3 万美元以上

  • 2019-02-21
  • 本文字数:927 字

    阅读完需:约 3 分钟

GitHub的bug赏金计划升级:奖金提高到3万美元以上

多年来,GitHub 通过为研究人员提供相应的奖励和对应的法律安全条款来改进其 bug,这一规则似乎没有因为微软收购而停止,并被爆出今年的奖金将全面提升。


近日,代码托管网站 GitHub 在最近一份报告中表示,已根据其 bug 奖金计划取消了最高支付上限,并进一步降低该计划对研究人员的法律风险。未来,GitHub 将给予各级别 bug 更高奖励,更多产品被列入奖励范围,对黑客将会出具新的法律保护。


该公司取消了对研究人员发现关键 bug 的最大奖金限额。一般来说,研究人员发现关键 bug 的奖励在 20,000 到 30,000 美元之间,但 GitHub 表示,目前在产品中发现严重程度较高的漏洞对研究人员来说更加困难,因此将为真正的前沿研究提供更多奖励。


多年来,bug 赏金分为四种不同的严重性类别,即低、中、高和关键,其他水平的奖金额度也将上提。比如,高严重性 bug 将提供 10,000 至 20,000 美元奖励,中等严重性 bug 奖励范围介于 4,000 至 10,000 美元之间,而低严重性 bug 则介于 617 至 2,000 美元之间。


目前,GitHub.com 域下托管的所有一手服务都在奖励范围内,包括 GitHub Education,GitHub Leaning Lab,GitHub Jobs 和 GitHub Desktop 应用程序。GitHub 的企业云现在也包含在该计划中,面向员工的站点 githubapp.co 和 github.net 域也是如此。


最后,GitHub 希望消除其 bug 赏金计划对研究人员存在的法律风险,GitHub 在其网站政策中添加了一套新的法律安全条款,并提供明确保护措施。


通过新的法律条款,研究人员可以避免违反 GitHub 网站条款,如果他们的行为专门针对 bug 赏金计划将不会被起诉,可以放心忽视 GitHub 协议对逆向工程的限制。如果不小心超越了 bug 赏金计划范围,Github 也会保护研究人员不受同等级别安全条款困扰,并表示不会起诉研究人员。Github 在条款中声明如下:


为鼓励研究和负责任地披露安全漏洞,我们不会采取民事或刑事诉讼,也不会因意外或善意违反政策而向执法部门发出通知。


根据计算机欺诈和滥用法案,DMCA 以及其他适用的计算机法律,如 Cal.Penal Code 502(c),我们认为安全研究和漏洞披露活动符合本政策授权行为。我们放弃任何潜在的 DMCA 索赔都是保护 bug-bounty 计划范围内应用程序的技术措施。


完整计划参考 Github 官方页面:https://bounty.github.com/


2019-02-21 16:364352
用户头像
赵钰莹 InfoQ 主编

发布了 882 篇内容, 共 638.1 次阅读, 收获喜欢 2678 次。

关注

评论

发布
暂无评论
发现更多内容

瓴羊Quick BI怎么样,BI工具数据看板见分晓!

小偏执o

易观分析:银保监会成为“历史”,金融行业将面临哪些重点影响?

易观分析

金融 经济

云计算生态该怎么做?阿里云计算巢打了个样

云布道师

云计算 阿里云

数据安全特点有哪些?现在企业如何保障数据安全?

行云管家

数据安全 堡垒机 数据泄露

云图说丨云数据库GaussDB(for MySQL)事务拆分大揭秘

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 3 月 PK 榜

面向新时代,海泰方圆战略升级!“1465”隆重发布!

电子信息发烧客

配运基础数据缓存瘦身实践

京东科技开发者

数据库 redis 缓存 key 企业号 3 月 PK 榜

matlab实现形态学图像处理

timerring

matlab 图像处理

规模化企业BI分析用哪家?帆软、永洪BI、瓴羊Quick BI深度对比

巷子

Terraform 新手村指南,萌新必读!

SEAL安全

Terraform 企业号 3 月 PK 榜

ChatGPT作者John Schulman:我们成功的秘密武器

OneFlow

人工智能 深度学习 ChatGPT

中小企业需要统一的快速开发平台吗?

力软低代码开发平台

瓴羊Quick BI更合适“中国式报表”需求!

巷子

什么是大前端技术?微信小程序用户占比达25%

没有用户名丶

物联网平台提醒欠费该如何查询和处理?——普及类

阿里云AIoT

物联网

排序算法 Quick Sort

Immerse

JavaScript 面试 前端 数据结构算法 算法、

Java面试一个月,心态崩了……

程序知音

Java java面试 Java进阶 后端技术 Java面试八股文

DLRover:蚂蚁开源大规模智能分布式训练系统

AI Infra

互联网 智能 训练智能

自动化离线交付在云原生的应用和思考

京东科技开发者

云原生 离线 企业号 3 月 PK 榜 自动化交付

三天吃透消息队列面试八股文

程序员大彬

Java 消息队列

喜马拉雅基于DeepRec构建AI平台实践

阿里云大数据AI技术

人工智能 深度学习 推理 企业号 3 月 PK 榜 稀疏学习

IoT平台设备标签功能和规则引擎组合最佳实践——设备接入类

阿里云AIoT

sql 监控 物联网 API 定位技术

defi质押LP流动性挖矿dapp系统开发详情(案例)

开发微hkkf5566

什么是信创产品?怎么成为信创产品?

行云管家

信创 国产化

帆软、永洪BI、瓴羊Quick BI等工具,都有哪些特点呢?

小偏执o

【实践篇】教你玩转微服务--基于DDD的微服务架构落地实践之路

京东科技开发者

架构 后端 企业号 3 月 PK 榜 微服务器

喜讯!阿里云数据库PolarDB荣获第12届PostgreSQL中国技术大会“开源数据库杰出贡献奖”

阿里云数据库开源

开源数据库 polarDB 阿里云数据库 PolarDB-PG PolarDB for PostgreSQL

「降本」有可能,「增效」不确定

Java 架构 程序人生 职场

复杂业务架构设计方法论的思考

FluttySage

架构

浪潮 KaiwuDB x 山东重工 | 打造离散制造业 IIoT 标杆解决方案

KaiwuDB

数据库 iiot 制造业

设备离线时控制指令如何下发:通过设备影子实现离线设备的控制指令触达方案——设备管理运维类

阿里云AIoT

物联网

GitHub的bug赏金计划升级:奖金提高到3万美元以上_开源_赵钰莹_InfoQ精选文章