Her yıl, etkileyici hataları ve araştırmacıları, ödülleri, canlı hack etkinliklerini ve daha fazlasını vurgulayarak GitHub Güvenlik Hata Bounty programını kutluyoruz. Bu yıl, yeni bir kilometre taşını kutluyoruz: GitHub Güvenlik Hata Bounty programının 10 yılı!
Son 10 yılda heyecan verici bir büyüme yaşarken, programımızın hedefleri değişmedi.
Fikir basit: bilgisayar korsanları ve güvenlik araştırmacıları sorumlu açıklama sürecimiz aracılığıyla güvenlik açıklarını bulur ve rapor eder. Daha sonra, bu araştırmacıların böcekleri avlarken sıklıkla ortaya koydukları önemli çabayı tanımak için, onları soğuk sert nakitle ödüllendiriyoruz.
GitHub Güvenlik Hata Bounty programının ilk on yılından 10 önemli anı inceleyelim.
1. 2014 yılında, güvenlik araştırmacılarıyla daha iyi etkileşim kurmak için programı başlattık. İşte o zaman söylediklerimiz, bugün hala doğru olan:
Kullanıcılarımızın güveni, GitHub’da asla verilmediğimiz bir şeydir. Bu güveni kazanmak ve korumak için her zaman hizmetlerimizin güvenliğini artırmak için çalışıyoruz. Bununla birlikte, bazı güvenlik açıklarının izlenmesi çok zor olabilir ve daha fazla göze sahip olmak asla acıtmaz.
Lansmanda, Bug Bounty programı ürün ve hizmetlerimizin bir alt kümesine odaklandı, ancak zamanla kapsamı genişlettik (Aşağıda daha fazlası!).
2. Programı ev sahibi bir e-posta tabanlı sistem aracılığıyla barındırdıktan sonra 2016 yılında HackerOne’a taşındık.
3. 2017’de ödemeleri artırdık ve 2017’de Hack the World’e katıldık ve bilgisayar korsanlarını GitHub’da hata bulurken Hackerone’deki iki kez itibar puanıyla ödüllendirdik.
4. 2018’de araştırmacıları daha iyi korumak ve araştırmacıların girişinin önündeki potansiyel engellerden birini ortadan kaldırmak için GitHub Bug Bounty Programı Yasal Güvenli Liman Politikası kapsamında olacağını açıkladık.
Böcek ödül programımız aracılığıyla açıklamayı koordine etmenizi istiyoruz ve araştırmacıların hata ödül politikamıza uyma girişimleri nedeniyle yasal sonuçlardan korkmalarını istemiyoruz.
5. 2019, gönderilerde% 40’lık bir artış gördü ve aynı zamanda programın kapsamını GitHub Actions ve Github Mobile gibi daha fazla ürün içerecek şekilde genişlettiğimiz ilk yıl oldu.
6. 2020’de Hackerone’un En İyi On Ödül Programı Listesine indik. Sıralamalar, verilen kümülatif ödül miktarına dayanıyordu, ancak aynı zamanda ödül için zaman için övgüler, güvenlik açığı raporlarının sayısı çözüldü ve daha fazlasını içeriyordu.
7. 2021’de araştırmacılardan 64.000 dolardan fazla ödül bağışıyla eşleştirdik ve bağışlanan toplamı 100.000 doların üzerine getirdik. Destekleyebildiğimiz hayır kurumları arasında Cancer Research UK, Givewell Maksimum Etki Fonu, Büyük Pittsburgh Topluluk Gıda Bankası ve Numfocus yer alıyor.
8. GitHub Bug Bounty Swag mağazası, araştırmacılarımızın sadece swag almaktan hoşlanmasının değil, aynı zamanda ödül programımıza katılımlarını göstermekten de hoşlandıklarını öğrendikten sonra 2022’de başlatıldı. Bilgisayar korsanları artık para ödemelerine ek olarak tişörtler, bel, su şişeleri ve daha fazlasını kazanabilir.
9. 2023’te bugüne kadarki en yüksek tek ödülümüzü 75.000 $ ‘a ödedik! Bunu 50.000 doların biraz üzerinde ödediğimiz ödülün ilk yılı ile karşılaştırın toplam.
10. Ve en sevdiğimiz kilometre taşlarımızdan bazılarını tamamlamak için, 2023’ün sonundan itibaren toplam ödüllerde 4.000.000 $ ‘ı aştık!
2023 yıl inceleme
Şimdi son 10 yıldaki bazı kilit anlara baktığımıza göre, yakınlaştıralım ve 2023’ün nasıl oynandığını görelim. 2022 tamamlamamızda, gelecek yıl için temel odak noktamızın iletişim ve ödüllerde şeffaflığı artıracağını, kamu ve özel programlarımızı büyüteceğini ve ekibin topluluk içindeki varlığını genişleteceğini paylaştık. Peki nasıl yaptık?
Şeffaflığı arttırmak
Ödemeler, raporlar ve kararlar etrafındaki şeffaflık her zaman ödül alanında bir geri bildirim alanıdır.
Bu yıl, ortak geri bildirim temalarını, neler uygulayabileceğimizi ve topluluğumuzun ihtiyaçlarını nasıl karşıladığımızı daha iyi anlamaya odaklandık. Hackerone hakkındaki raporların sınırlı olarak ifşa edilmesinden çok şey öğrendik ve bu öğrenmeleri bir sonraki adımlarımızı planlamaya başlamak için kullanıyoruz. Buna ek olarak, ödül programlarının insan-insan etkileşimleri olduğunu anlamak, araştırmacı etkileşimlerimizi daha da geliştirmeye odaklandık, böylece yanıtlar daha ayrıntılı ve açık.
Bu çalışmanın çoğu sağlam bir temel oluşturmak için içe doğru olsa da, bu iyileştirmelerin ileriye baktığımızda heyecan verici planlarımız için temel olduğunu biliyoruz.
Büyüyen Özel ve Kamu Programları
Programımız zaten GitHub ürünleri arasında oldukça geniş bir kapsam içeriyor, ancak araştırmacılar topluluğumuzun her zaman dişlerini yayınladığımız en son ürünlere ve özelliklere batırmanın yeni yollarını aradığını biliyoruz.
2023’te, GraphQL, Github Copilot Chat ve diğerleri aracılığıyla Pats V2 dahil olmak üzere hacktocats (Bounty’s VIP programının üyeleri) ile birkaç özel ödül nişanladık. Bu özel etkinlikler, araştırmacılarımızın ne aradığını anlamak ve yayınlanmadan önce bu sorunları ele almak için özellikler oluşturan mühendisler için fırsatlar sağladı. Ayrıca araştırmacılarımızı katılmaya teşvik etmek için yeni bonuslar ve zorluklar getirdik.
Kamu programımız da istikrarlı bir büyüme ve katılım görmeye devam etti. Araştırmacı katılımını teşvik etmek için, kamu programının kapsamının, GitHub’ın 2023’te program kapsamına eklenen GitHub Copilot ve Copilot Chat gibi en son teklifleri ve işlevselliği ile düzenli olarak güncellenmesini sağlıyoruz.
Son olarak, her zaman ödüllerimizin rekabetçi olmasını sağlayarak topluluğumuzdaki sürekli büyüyen yetenekleri tanımaya çalışıyoruz. 2023’te en yüksek ödül ödememizi 75.000 dolar olan yeni bir rekorla aştık.
Topluluk varlığı
Ekibimiz, kulplarımıza yüzler getirmeye ve topluluğumuzun ödül ekibimize ve programımıza yaptığımız yatırımlardan yararlanmasını sağlamaya çok odaklandı.
2023’te bu, Amerika Birleşik Devletleri, Kanada ve Arjantin’deki konferanslara katılmak anlamına geliyordu. Bu konferanslarda, topluluğumuzla buluşuyoruz, programımızla ilgilenen başkalarıyla tanışıyoruz, ilgili konularda sunuyoruz ve hatta ev sahibi buluşmalar. Geçen yıl bazı sunumlarımızla birkaç bağlantı:
Bsides SF: “Bir Hatanın Hayatı” – Github’ın Hackerone Bounty Programımız aracılığıyla harici araştırmacılar tarafından gönderilen güvenlik bulgularını araştırmak için Github’ın Böcek Bounty ve PSIirt ekipleri ortağı. Triyajdan bildirime kadar, bu konuşma her iki takımın rollerine ve bir sahte hatanın yol izlemesiyle tam olay müdahale sürecine bir göz attı.
Deffon: “Harika Bir Ödül Programı Oluşturma” – GitHub’daki güvenlik mühendisleri Jeff ve Logan, birden fazla şirkette ve birden fazla şirkette çalışma deneyimlerine dayanarak hata ödül programları oluşturma ve işletme konusunda öğrendikleri en iyi uygulamaları paylaşırlar. Hataları ve başarıları hakkında konuşurlar, böylece diğer programlar başarı için kurulabilir, araştırmacıları programlarına çekebilir ve geri gelmelerini sağlamaya devam edin!
Kuzeysek: “GitHub’daki güvenlik mühendisi Logan, GitHub’ın Bug Bounty programının giriş ve çıkışlarını ve böcek ödül programlarında çalışan veya inşa eden veya hackleyenler için tavsiyelerde bulunuyor. Bu konuşma, hata ödül programlarındaki sorun alımı ve çözümünün üst düzey süreçlerini tartışırken, hata ödül programlarının bir YG, ifşa düşünceleri ve ilgili tüm taraflar için işbirliğini geliştirme yollarının ayrıntılarına dalmaktadır. ”
Ayrıca yeni bir konferans olan Glass Güvenlik Duvarı oluşturmak ve ev sahipliği yapmak için Capital One ve Hackerone’deki arkadaşlarımızla ortaklık kurduk. Kadınların güvenlik konusunda büyük ölçüde yeterince temsil edilmediğini bilerek, araştırmacı topluluğuna rağmen, cam güvenlik duvarı, “giriş engelini” kırmak için güvenli bir alan sağlamak veya dediğimiz gibi “bayt ve bariyerleri kırmak” için yaratıldı.
Sırada ne var?
Önümüzdeki yıl, doğrulama konusundaki ödeme konusundaki süreçlerimizi geliştirmek, kamu açıklamalarının bir sonraki aşamasına doğru çalışmak, topluluğumuz için özel ödüller etrafında daha fazla tutarlılık getirmeye ve VIP topluluğumuz için özel eğitim ve fırsatlar sunmak istiyoruz.
Böcek ödül topluluğundaki büyümemize ve yolculuğumuza devam etmeyi dört gözle bekliyoruz ve her zaman daha fazla etkileşim kurmanın ve alınan geri bildirimlere göre hareket etmenin yollarını arıyoruz.