GitHub 的 bug 赏金计划升级：奖金提高到 3 万美元以上

多年来，GitHub 通过为研究人员提供相应的奖励和对应的法律安全条款来改进其 bug，这一规则似乎没有因为微软收购而停止，并被爆出今年的奖金将全面提升。

近日，代码托管网站 GitHub 在最近一份报告中表示，已根据其 bug 奖金计划取消了最高支付上限，并进一步降低该计划对研究人员的法律风险。未来，GitHub 将给予各级别 bug 更高奖励，更多产品被列入奖励范围，对黑客将会出具新的法律保护。

该公司取消了对研究人员发现关键 bug 的最大奖金限额。一般来说，研究人员发现关键 bug 的奖励在 20,000 到 30,000 美元之间，但 GitHub 表示，目前在产品中发现严重程度较高的漏洞对研究人员来说更加困难，因此将为真正的前沿研究提供更多奖励。

多年来，bug 赏金分为四种不同的严重性类别，即低、中、高和关键，其他水平的奖金额度也将上提。比如，高严重性 bug 将提供 10,000 至 20,000 美元奖励，中等严重性 bug 奖励范围介于 4,000 至 10,000 美元之间，而低严重性 bug 则介于 617 至 2,000 美元之间。

目前，GitHub.com 域下托管的所有一手服务都在奖励范围内，包括 GitHub Education，GitHub Leaning Lab，GitHub Jobs 和 GitHub Desktop 应用程序。GitHub 的企业云现在也包含在该计划中，面向员工的站点 githubapp.co 和 github.net 域也是如此。

最后，GitHub 希望消除其 bug 赏金计划对研究人员存在的法律风险，GitHub 在其网站政策中添加了一套新的法律安全条款，并提供明确保护措施。

通过新的法律条款，研究人员可以避免违反 GitHub 网站条款，如果他们的行为专门针对 bug 赏金计划将不会被起诉，可以放心忽视 GitHub 协议对逆向工程的限制。如果不小心超越了 bug 赏金计划范围，Github 也会保护研究人员不受同等级别安全条款困扰，并表示不会起诉研究人员。Github 在条款中声明如下：

为鼓励研究和负责任地披露安全漏洞，我们不会采取民事或刑事诉讼，也不会因意外或善意违反政策而向执法部门发出通知。

根据计算机欺诈和滥用法案，DMCA 以及其他适用的计算机法律，如 Cal.Penal Code 502（c），我们认为安全研究和漏洞披露活动符合本政策授权行为。我们放弃任何潜在的 DMCA 索赔都是保护 bug-bounty 计划范围内应用程序的技术措施。

完整计划参考 Github 官方页面：https://bounty.github.com/