Dünyanın önde gelen yazılım geliştirme platformu GitHub bir dönüm noktasını kutluyor: Güvenlik Hatası Bounty programının 10. yıl dönümü.
Geçtiğimiz on yılda program yalnızca GitHub hizmetlerinin güvenliğini artırmakla kalmadı, aynı zamanda güvenlik araştırmacılarını toplamda 4 milyon dolarlık şaşırtıcı bir ödemeyle ödüllendirdi.
On Yıllık Kilometre Taşları
2014 yılında başlatılan GitHub Security Bug Bounty programı, sorumlu bir açıklama süreci aracılığıyla güvenlik açıklarını belirlemek ve raporlamak için güvenlik araştırmacılarıyla etkileşime geçmek üzere tasarlandı.
Programın birincil hedefi her zaman GitHub hizmetlerinin güvenliğini artırmak ve araştırmacıların çabalarını parasal ödüllerle takdir etmek olmuştur.
- 2014: Program, GitHub ürün ve hizmetlerinin bir alt kümesine odaklanmaya başladı.
- GitHub, kullanıcı güveninin önemini ve yakalanması zor güvenlik açıklarının izini sürmek için ek gözlere duyulan ihtiyacı vurguladı.
- 2016: İki yıl boyunca kendi geliştirdiği e-posta tabanlı sistemi kullandıktan sonra GitHub, süreci kolaylaştırmak için önde gelen hata ödül platformu HackerOne’a geçti.
- 2017: GitHub ödemeleri artırdı ve Hack the World etkinliğine katılarak GitHub’da bulunan hatalar için HackerOne’da iki kat itibar puanı sundu.
- 2018: Yasal Güvenli Liman politikasının uygulamaya konulması, araştırmacılar için daha iyi koruma sağladı, olası yasal engelleri kaldırdı ve daha fazla katılımı teşvik etti.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot.
- 2019: Program, gönderimlerde %40 artış gördü ve kapsamını GitHub Actions ve GitHub Mobile gibi daha fazla ürünü içerecek şekilde genişletti.
- 2020: GitHub’ın programı, verilen toplam ödüller, ödüle kadar geçen süre ve çözülen güvenlik açığı raporlarının sayısına göre HackerOne’ın ilk on ödül programı arasında yer aldı.
- 2021: GitHub, Cancer Research UK ve Greater Pittsburgh Community Food Bank gibi hayır kurumlarını destekleyen araştırmacılardan gelen 64.000 doların üzerinde bağış topladı.
- 2022: GitHub Bug Bounty promosyon mağazasının lansmanı, araştırmacıların tişört, su şişeleri ve parasal ödüller gibi ürünler kazanmasına olanak sağladı.
- 2023: GitHub bugüne kadarki en yüksek tek ödülü olan 75.000 $’ı ödedi ve toplam ödül 4 milyon $’ı aştı.
2023 Yılı İncelemesi
GitHub 2023’te şeffaflığı artırmaya, kamu ve özel programlarını büyütmeye ve topluluk varlığını genişletmeye odaklandı.
Şeffaflığın Artırılması:
GitHub, ortak geri bildirim temalarını anlamaya çalıştı ve araştırmacılara net ve ayrıntılı yanıtlar verilmesini sağlamak için değişiklikler uyguladı.
HackerOne’daki raporların sınırlı olarak açıklanması, şeffaflığa yönelik önemli bir adımdı.
Büyüyen Programlar:
GitHub, Hacktocats olarak bilinen VIP program üyeleriyle çeşitli özel ödül anlaşmaları yürüttü.
Bu etkileşimler arasında GraphQL ve GitHub Copilot Chat aracılığıyla PAT v2 gibi yeni özelliklerin test edilmesi de vardı.
Kamu programı da düzenli olarak kapsama eklenen yeni ürün ve özelliklerle istikrarlı bir büyüme kaydetti.
Topluluk Varlığı:
GitHub’ın ödül ekibi Amerika Birleşik Devletleri, Kanada ve Arjantin’de konferanslara katıldı, ilgili konularda sunumlar yaptı ve buluşmalara ev sahipliği yaptı.
Dikkate değer sunumlar arasında Bsides SF’de “Bir Böceğin Hayatı” ve DEFCON’da “Büyük Bir Ödül Programı Oluşturmak” yer aldı.
GitHub ayrıca kadınların güvenlik alanındaki temsilini artırmayı amaçlayan bir konferans olan Glass Firewall’u oluşturmak için Capital One ve HackerOne ile ortaklık kurdu.
GitHub bu kilometre taşını kutlarken şirket, hizmetlerinin güvenliğini artırma ve araştırma topluluğunu destekleme konusundaki kararlılığını sürdürüyor.
Şeffaflığı daha da artırma, programlarını büyütme ve topluluk katılımını genişletme planlarıyla GitHub’un Bug Bounty programı, gelecek yıllarda da başarısını sürdürmeye hazırlanıyor.
GitHub’ın güvenliğe olan bağlılığı ve araştırma topluluğuyla işbirliğine dayalı yaklaşımı, sektörde yüksek bir standart belirledi.
Program ikinci on yılına girerken, gelecek hem GitHub hem de küresel güvenlik araştırmacıları topluluğu için umut verici görünüyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free