多年來,GitHub通過爲研究人員提供相應的獎勵和對應的法律安全條款來改進其bug,這一規則似乎沒有因爲微軟收購而停止,並被爆出今年的獎金將全面提升。
近日,代碼託管網站GitHub在最近一份報告中表示,已根據其bug獎金計劃取消了最高支付上限,並進一步降低該計劃對研究人員的法律風險。未來,GitHub將給予各級別bug更高獎勵,更多產品被列入獎勵範圍,對黑客將會出具新的法律保護。
該公司取消了對研究人員發現關鍵bug的最大獎金限額。一般來說,研究人員發現關鍵bug的獎勵在20,000到30,000美元之間,但GitHub表示,目前在產品中發現嚴重程度較高的漏洞對研究人員來說更加困難,因此將爲真正的前沿研究提供更多獎勵。
多年來,bug賞金分爲四種不同的嚴重性類別,即低、中、高和關鍵,其他水平的獎金額度也將上提。比如,高嚴重性bug將提供10,000至20,000美元獎勵,中等嚴重性bug獎勵範圍介於4,000至10,000美元之間,而低嚴重性bug則介於617至2,000美元之間。
目前,GitHub.com域下託管的所有一手服務都在獎勵範圍內,包括GitHub Education,GitHub Leaning Lab,GitHub Jobs和GitHub Desktop應用程序。GitHub的企業雲現在也包含在該計劃中,面向員工的站點githubapp.co和github.net域也是如此。
最後,GitHub希望消除其bug賞金計劃對研究人員存在的法律風險,GitHub在其網站政策中添加了一套新的法律安全條款,並提供明確保護措施。
通過新的法律條款,研究人員可以避免違反GitHub網站條款,如果他們的行爲專門針對bug賞金計劃將不會被起訴,可以放心忽視GitHub協議對逆向工程的限制。如果不小心超越了bug賞金計劃範圍,Github也會保護研究人員不受同等級別安全條款困擾,並表示不會起訴研究人員。Github在條款中聲明如下:
爲鼓勵研究和負責任地披露安全漏洞,我們不會採取民事或刑事訴訟,也不會因意外或善意違反政策而向執法部門發出通知。
根據計算機欺詐和濫用法案,DMCA以及其他適用的計算機法律,如Cal.Penal Code 502(c),我們認爲安全研究和漏洞披露活動符合本政策授權行爲。我們放棄任何潛在的DMCA索賠都是保護bug-bounty計劃範圍內應用程序的技術措施。
完整計劃參考Github官方頁面:https://bounty.github.com/