GitHub今天宣布它在其应用程序中修复了57件以前未知的安全漏洞,因为它的Bug Bounty Program只推出了一年前。鉴于这一成功,公司现在将从5000美元到10,000美元的最高赏金支付加倍。

错误的次数明显小于过去一年中收到的1,920份提交的Github。该公司首先将该号码减少到869报告,实际上“有保证进一步审查”。以下是当时提交的分布:

就像它启动时,Github的Bug Bounty程序覆盖了Github API,GitHub Gist和Github.com。该公司的其他Web属性和应用程序不是该计划的一部分,但发现漏洞“可能会自行决定获得现金奖励。”

每个赏金的确切金额由GitHub基于实际风险和对用户的影响决定。这意味着潜在范围越大,问题的严重程度越大,薪水越大。

GitHub今天详细介绍了一些更有趣的安全漏洞:

我们的顶级提交器@ADOB报告了一个持久的DOM基于DOM的跨站点伪漏洞,依赖于先前未知的Chrome浏览器错误,允许绕过我们内容安全策略。

我们的第二个多产的提交者@Joernchen报告了我们两个后端服务之间的通信中的复杂漏洞,可以允许攻击者设置任意环境变量。他通过找到一种方法来通过设置正确的环境变量来找到任意远程命令执行方法。

Bug Bounty程序由大型更大的技术公司使用,包括Facebook,Google和Microsoft,结果非常好。虽然GitHub可能没有它们的大小和范围,但它的程序仍然很值得麻烦:在它成为一个问题之前,它总是更好地找到并修复一个错误,特别是在安全性时。与奖金的安全性研究人员奖励花生花生与支付安全灾难的成本相比。

不幸的是,GitHub没有分享2014年的总额,也不分享多少安全研究人员。我们联系了公司关于这些TIDBITS,如果我们听到回复,请更新您。

更新:Github告诉Vidturebeat,33个独特的研究人员为57个中等媒体累计为57个中等风险漏洞而累计50元。