写点什么

GitHub 的 bug 赏金计划升级:奖金提高到 3 万美元以上

  • 2019-02-21
  • 本文字数:927 字

    阅读完需:约 3 分钟

GitHub的bug赏金计划升级:奖金提高到3万美元以上

多年来,GitHub 通过为研究人员提供相应的奖励和对应的法律安全条款来改进其 bug,这一规则似乎没有因为微软收购而停止,并被爆出今年的奖金将全面提升。


近日,代码托管网站 GitHub 在最近一份报告中表示,已根据其 bug 奖金计划取消了最高支付上限,并进一步降低该计划对研究人员的法律风险。未来,GitHub 将给予各级别 bug 更高奖励,更多产品被列入奖励范围,对黑客将会出具新的法律保护。


该公司取消了对研究人员发现关键 bug 的最大奖金限额。一般来说,研究人员发现关键 bug 的奖励在 20,000 到 30,000 美元之间,但 GitHub 表示,目前在产品中发现严重程度较高的漏洞对研究人员来说更加困难,因此将为真正的前沿研究提供更多奖励。


多年来,bug 赏金分为四种不同的严重性类别,即低、中、高和关键,其他水平的奖金额度也将上提。比如,高严重性 bug 将提供 10,000 至 20,000 美元奖励,中等严重性 bug 奖励范围介于 4,000 至 10,000 美元之间,而低严重性 bug 则介于 617 至 2,000 美元之间。


目前,GitHub.com 域下托管的所有一手服务都在奖励范围内,包括 GitHub Education,GitHub Leaning Lab,GitHub Jobs 和 GitHub Desktop 应用程序。GitHub 的企业云现在也包含在该计划中,面向员工的站点 githubapp.co 和 github.net 域也是如此。


最后,GitHub 希望消除其 bug 赏金计划对研究人员存在的法律风险,GitHub 在其网站政策中添加了一套新的法律安全条款,并提供明确保护措施。


通过新的法律条款,研究人员可以避免违反 GitHub 网站条款,如果他们的行为专门针对 bug 赏金计划将不会被起诉,可以放心忽视 GitHub 协议对逆向工程的限制。如果不小心超越了 bug 赏金计划范围,Github 也会保护研究人员不受同等级别安全条款困扰,并表示不会起诉研究人员。Github 在条款中声明如下:


为鼓励研究和负责任地披露安全漏洞,我们不会采取民事或刑事诉讼,也不会因意外或善意违反政策而向执法部门发出通知。


根据计算机欺诈和滥用法案,DMCA 以及其他适用的计算机法律,如 Cal.Penal Code 502(c),我们认为安全研究和漏洞披露活动符合本政策授权行为。我们放弃任何潜在的 DMCA 索赔都是保护 bug-bounty 计划范围内应用程序的技术措施。


完整计划参考 Github 官方页面:https://bounty.github.com/


2019-02-21 16:364360
用户头像
赵钰莹 InfoQ 主编

发布了 882 篇内容, 共 640.9 次阅读, 收获喜欢 2679 次。

关注

评论

发布
暂无评论
发现更多内容

深入理解spring mvc启动过程与原理

三十而立

Java spring 程序员 开发 IT

【分布式技术专题】「分布式技术架构」一文带你厘清分布式事务协议及分布式一致性协议的算法原理和核心流程机制(Paxos篇)

洛神灬殇

分布式 PAXOS paxos协议 算法分析

Macbook技巧,Type-c接口失灵怎么办

互联网搬砖工作者

TiDB SQL调优案例之避免TiFlash帮倒忙

TiDB 社区干货传送门

性能调优 实践案例 故障排查/诊断

设计消息队列存储消息数据的 MySQL 表格

Geek_7d539e

手把手教你写spring boot starter

三十而立

Java 程序员 IT springboot boot

快速尝鲜:RabbitMQ 搭建完就得用起来

Java你猿哥

Java Spring Boot ssm RabbitMQ

浅谈DWS函数出参方式

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 3 月 PK 榜

Apache APISIX 3.2.0 LTS 正式发布

API7.ai 技术团队

武汉等保测评有限公司有哪几家?具体位于哪里?

行云管家

等保 等保测评 等保2.0 武汉

有效载荷标识与内容类型--MQTT 5.0新特性

EMQ映云科技

物联网 IoT mqtt 企业号 3 月 PK 榜 有效载荷标识

PS 2023版本 24.2有哪些新功能?增加了哪些相机配置?

Rose

ps ps 2023 Photoshop 2023下载

BSN-DDC基础网络详解(五):接入DDC网络(2)

BSN研习社

BSN-DDC基础网络

国家高新技术企业是国企吗?获得高新企业证书有什么用?

行云管家

高新企业 高新技术

阿里云AIoT物联网平台如何实现设备全球就近接入——设备接入类

阿里云AIoT

运维 监控 物联网 中间件 数据采集

Java 8 的异步利器:CompletableFuture源码解析(建议精读)

Java你猿哥

Java ssm java8 源码解析

pytest学习和使用2-初步使用和用例运行

Python 自动化测试 pytest

NFTScan 与 UniPass 达成合作伙伴,双方在多链 NFT 数据方面展开合作!

NFT Research

NFT

全能代码编辑器:CodeRunner 最新激活版

真大的脸盆

Mac 代码编辑器 Mac 软件 代码编辑 编辑代码

实战|网站监控如何做好监测点管理与内网数据采集

云智慧AIOps社区

安全 监控 监控宝 云智慧 网站监控

物联网数据应用开发最佳实践——数据价值类

阿里云AIoT

数据挖掘 物联网 存储 数据管理 调度

pytest学习和使用1-pytest安装和版本查看

Python 自动化测试 pytest

1个案例读懂——游戏产品如何用A/B测试做增长

字节跳动数据平台

云服务 AB testing实战 A/B测试 企业号 3 月 PK 榜

阿里120W年薪架构师力荐750页微服务架构深度解析笔记

程序知音

Java 微服务 编程语言 后端技术

共享订阅--MQTT 5.0新特性

EMQ映云科技

物联网 IoT mqtt 企业号 3 月 PK 榜 共享订阅

温湿度计设备通过阿里云IoT物联网套件上报数据到钉钉群机器人实践——数据价值类

阿里云AIoT

JavaScript Serverless 物联网 机器人 机器学习/深度学习

技术详解 阿里云AIoT物模型支撑设备规模已超亿级——设备管理运维类

阿里云AIoT

运维 安全 监控 物联网 芯片

大资管行业数字化转型解决方案 | 行业方案

袋鼠云数栈

大数据 数字化转型 解决方案

面试没有分库分表经验,就看这篇

三十而立

Java sql 程序员 IT 分库

基于 Apache Flink 的实时计算数据流业务引擎在京东零售的实践和落地

Apache Flink

大数据 flink 实时计算

GuavaCache与物模型大对象引起的内存暴涨分析——设备管理运维类

阿里云AIoT

缓存 算法 监控 物联网 数据格式

GitHub的bug赏金计划升级:奖金提高到3万美元以上_开源_赵钰莹_InfoQ精选文章