程式碼平台 Github 宣布將擴大其漏洞懸賞計畫,不只提高了獎勵金額還取消了獎金的上限。除了獎金調高之外,Github 還特別為懸賞計畫的參與者增加了法律免責條款,讓參與者不會因為要尋找系統漏洞而吃上官司。
Github 透露在 2018 年已經透過各種賞金計畫向安全研究人員發放超過 25 萬美元,其中光是公開的漏洞懸賞計畫就發放了 16.5 萬美元。Github 在 2014 年 1 月首度推出漏洞懸賞計畫,現在 Github 還打算擴大計畫範圍並發出更多獎金。GitHub 的漏洞懸賞計畫將擴展到整個 github.com 的網域,包括 GitHub Education、GitHub Learning Lab、GitHub Jobs 和 GitHub Desktop 等,並提高了所有等級的獎金金額。
發現最嚴重的安全漏洞可以獲得 2 萬到 3 萬美元甚至更高的獎金,高級的安全漏洞則提供 1 萬到 2 萬美元的獎金,發現中等的安全漏洞可以得到 4,000 到 1 萬美元的獎金,找到最初階的安全漏洞也能獲得 617 到 2,000 美元。GitHub 表示,找出最嚴重的安全漏洞參與者基本上可以得到 2 萬到 3 萬美元,不過保留對真正前端的研究給予更豐厚獎勵的權利。GitHub 指出,取消獎金上限並不是因為背後有了資金雄厚的微軟(Microsoft),不過顯然有個富爸爸讓他們發起獎金更有底氣。
GitHub 為了保護懸賞計畫參與者免於法律上的風險,進行了好幾個月的法律研究,在網站上新增了 3 項法律條款。GitHub 將不會對參與懸賞計畫的人提起懸賞計畫相關的訴訟,也會保護參與者免受第三方的法律風險,並豁免參與者在研究懸賞計畫違反網站規範時的懲罰。GitHub 表示這些法律條款將提供其他組織自由使用,並自行修改為適合自家懸賞計畫的版本。
(首圖來源:GitHub)
