Her yıl, etkileyici hataları ve araştırmacıları, ödülleri, canlı bilgisayar korsanlığı etkinliklerini ve daha fazlasını öne çıkaran GitHub Güvenlik Hatası Ödül programını kutluyoruz. Bu yıl yeni bir dönüm noktasını kutluyoruz: GitHub Güvenlik Hatası Ödül programının 10. yılı!
Son 10 yılda heyecan verici bir büyüme kaydetmiş olsak da programımızın hedefleri değişmedi.
Fikir basit: Bilgisayar korsanları ve güvenlik araştırmacıları, sorumlu açıklama sürecimiz aracılığıyla güvenlik açıklarını bulur ve bildirir. Daha sonra, bu araştırmacıların böcekleri avlarken sıklıkla ortaya koydukları önemli çabayı takdir etmek için, onları nakit parayla ödüllendiriyoruz.
GitHub Güvenlik Hatası Ödül programının ilk on yılına ait 10 önemli ana bir göz atalım.
1. 2014 yılında güvenlik araştırmacılarıyla daha iyi etkileşim kurmak amacıyla programı başlattık. O zaman söylediklerimiz bugün de geçerliliğini koruyor:
Kullanıcılarımızın güveni, GitHub’da asla hafife almadığımız bir şeydir. Bu güveni kazanmak ve korumak için daima hizmetlerimizin güvenliğini artırmak için çalışıyoruz. Ancak bazı güvenlik açıklarının izini sürmek çok zor olabilir ve daha fazla göze sahip olmanın hiçbir zararı yoktur.
Başlangıçta hata ödül programı ürün ve hizmetlerimizin bir alt kümesine odaklanmıştı ancak zamanla kapsamı genişlettik (bununla ilgili daha fazlası aşağıda!).
2. Programı kendi geliştirdiğimiz e-posta tabanlı bir sistem aracılığıyla iki yıl boyunca barındırdıktan sonra 2016 yılında HackerOne’a taşındık.
3. 2017’de ödemeleri artırdık ve 2017’de Hack the World’e katılarak, GitHub’da hata bulan bilgisayar korsanlarını HackerOne’da iki kat itibar puanıyla ödüllendirdik.
4. Araştırmacıları daha iyi korumak ve potansiyel araştırmacıların giriş önündeki potansiyel engellerden birini ortadan kaldırmak için araştırmanın GitHub Bug Bounty Programı Yasal Güvenli Liman politikası kapsamında ele alınacağını 2018’de duyurmuştuk.
Hata ödül programımız aracılığıyla açıklamayı koordine etmenizi istiyoruz ve araştırmacıların, hata ödül politikamıza uyma konusundaki iyi niyetli çabaları nedeniyle yasal sonuçlardan korkmalarını istemiyoruz.
5. 2019, gönderimlerde %40’lık bir artış gördü ve aynı zamanda programın kapsamını GitHub Actions ve GitHub Mobile gibi daha fazla ürünü içerecek şekilde genişlettiğimiz ilk yıl oldu.
6. 2020’de HackerOne’ın en iyi on ödül programı listesine girdik. Sıralamalar, verilen ödüllerin kümülatif miktarına dayanıyordu ancak aynı zamanda ödüle kadar geçen süre, çözülen güvenlik açığı raporlarının sayısı ve daha fazlası için verilen övgüleri de içeriyordu.
7. 2021’de araştırmacıların 64.000 dolardan fazla ödül bağışını eşleştirdik ve bağışlanan toplamı 100.000 doların üzerine çıkardık. Destekleyebildiğimiz hayır kurumlarından bazıları Cancer Research UK, GiveWell Maximum Impact Fund, Greater Pittsburgh Community Food Bank ve Numfocus’tur.
8. GitHub Bug Bounty promosyon mağazası, araştırmacılarımızın sadece promosyon almaktan gerçekten keyif aldıklarını değil, aynı zamanda ödül programımıza katılımlarını göstermekten de hoşlandıklarını öğrendikten sonra 2022’de açıldı. Bilgisayar korsanları artık parasal ödemelerinin yanı sıra tişörtler, bel çantaları, su şişeleri ve daha fazlasını da kazanabilecekler.
9. 2023’te bugüne kadarki en yüksek tek ödülümüzü ödedik: 75.000 Dolar! Bunu, 50.000 doların biraz üzerinde ödediğimiz ödülün ilk yılıyla karşılaştırın toplam.
10. En sevdiğimiz dönüm noktalarından bazılarını özetlersek, 2023’ün sonu itibarıyla toplam ödül miktarı 4.000.000 $’ı aştı!
2023 yılı incelemesi
Artık son 10 yılın önemli anlarından bazılarına baktığımıza göre, yakınlaştırıp 2023’ün nasıl geçtiğini görelim. 2022 özetimizde, gelecek yıl için temel odak noktalarımızın iletişim ve ödüllerde şeffaflığı artırmak, kamuya açık ve özel programlarımızı büyütmek ve ekibin topluluk içindeki varlığını genişletmek olacağını paylaşmıştık. Peki nasıl yaptık?
Şeffaflığın arttırılması
Ödemeler, raporlar ve kararlar konusunda şeffaflık, ödül alanında her zaman bir geri bildirim alanıdır.
Bu yıl, geri bildirimin ortak temalarını daha iyi anlamaya, neleri uygulayabileceğimize ve topluluğumuzun ihtiyaçlarını karşıladığından nasıl emin olabileceğimize odaklandık. HackerOne’daki raporların sınırlı şekilde açıklanmasının başlamasından çok şey öğrendik ve bu öğrendiklerimizi sonraki adımlarımızı planlamaya başlamak için kullanıyoruz. Ek olarak, ödül programlarının insan-insan etkileşimleri olduğunun bilincinde olarak, yanıtların daha ayrıntılı ve net olması için araştırmacı etkileşimlerimizi daha da geliştirmeye odaklandık.
Bu çalışmaların çoğu sağlam bir temel oluşturmak için yapılmış olsa da, bu iyileştirmelerin ileriye baktığımızda heyecan verici planlarımız için temel teşkil ettiğini biliyoruz.
Büyüyen özel ve kamu programları
Programımız halihazırda GitHub ürünleri genelinde oldukça geniş bir kapsama sahiptir, ancak araştırmacı topluluğumuzun her zaman yayınladığımız en son ürün ve özelliklere dişlerini sokmanın yeni yollarını aradığını biliyoruz.
2023’te Hacktocat’larımızla (bounty’nin VIP programının üyeleri), GraphQL, GitHub Copilot Chat ve diğerleri aracılığıyla PAT v2 dahil olmak üzere birçok özel ödül anlaşması gerçekleştirdik. Bu özel etkinlikler, özellikleri geliştiren mühendislere araştırmacılarımızın ne aradığını anlama ve bu sorunları yayınlanmadan önce ele alma fırsatları sağladı. Ayrıca araştırmacılarımızı katılmaya teşvik etmek için yeni bonuslar ve zorluklar da sunduk.
Kamu programımız da istikrarlı bir büyüme ve katılım görmeye devam etti. Araştırmacı katılımını teşvik etmek için, herkese açık programın kapsamının, 2023 yılında program kapsamına eklenen GitHub Copilot ve Copilot Chat gibi GitHub’un en yeni teklifleri ve işlevleriyle düzenli olarak güncellenmesini sağlıyoruz.
Son olarak, ödüllerimizin rekabetçi olmasını sağlayarak her zaman topluluğumuzda sürekli büyüyen yetenekleri takdir etmeye çalışıyoruz. 2023’teki en yüksek ödül ödememizi yeni bir rekor olan 75.000 $ ile aştık.
Topluluk varlığı
Ekibimiz, yüzlerimizi yüzümüze getirmeye ve ödül ekibimize ve programımıza yaptığımız yatırımlardan topluluğumuzun faydalanmasını sağlamaya çok odaklandı.
2023’te bu, Amerika Birleşik Devletleri, Kanada ve Arjantin’deki konferanslara katılmak anlamına geliyordu. Bu konferanslarda topluluğumuzla buluşuyoruz, programımızla ilgilenen diğer kişilerle tanışıyoruz, ilgili konularda sunum yapıyoruz ve hatta buluşmalara ev sahipliği yapıyoruz. Geçen yılki sunumlarımızdan bazılarının bağlantılarını burada bulabilirsiniz:
SF’nin yanında: “Bir Hatanın Yaşamı”—GitHub’un Bug Bounty’si ve PSIRT ekipleri, HackerOne ödül programımız aracılığıyla harici araştırmacılar tarafından sunulan güvenlik bulgularını araştırmak için iş birliği yapıyor. Bu konuşma, triyajdan bildirime kadar her iki ekibin rollerine ve sahte bir hatanın gözden geçirilmesiyle olaya müdahale sürecinin tamamına kısa bir bakış sundu.
DEFCON: “Harika Bir Ödül Programı Oluşturmak”—GitHub’un güvenlik mühendisleri Jeff ve Logan, birden fazla şirkette ve onlarla birlikte çalışarak edindikleri deneyimlere dayanarak Bug Bounty programlarını oluşturma ve çalıştırmayla ilgili öğrendikleri en iyi uygulamaları paylaşıyorlar. Diğer programların başarıya ulaşması için hatalarını ve başarılarını anlatıyorlar, araştırmacıları kendi programlarına çekiyorlar ve geri gelmelerini sağlıyorlar!
Kuzey Saniye: “GitHub güvenlik mühendisi Logan, GitHub’ın Bug Bounty programının tüm ayrıntılarını araştırıyor ve Bug Bounty programlarında çalışanlara, bunları geliştirenlere veya hackleyenlere tavsiyelerde bulunuyor. Bu konuşmada, Bug Bounty programlarındaki üst düzey sorun alımı ve çözüm süreçleri tartışılırken, aynı zamanda Bug Bounty programlarının nasıl bir yatırım getirisine sahip olduğu, açıklama hususları ve ilgili tüm taraflar için işbirliğini geliştirmenin yolları hakkında ayrıntılara da giriliyor.
Ayrıca Glass Firewall adında yeni bir konferans oluşturmak ve ev sahipliği yapmak için Capital One ve HackerOne’daki arkadaşlarımızla ortaklık kurduk. Bırakın araştırmacı topluluğunu, kadınların güvenlik alanında bile yeterince temsil edilmediğini bilen Glass Firewall, “giriş engelini” aşmak veya dediğimiz gibi “baytları ve engelleri aşmak” için güvenli bir alan sağlamak üzere oluşturuldu.
Sırada ne var?
Önümüzdeki yıl, doğrulama üzerine ödeme yapma süreçlerimizi iyileştirmeyi, kamuyu aydınlatmanın bir sonraki aşamasına doğru çalışmayı, topluluğumuz için özel ödüller konusunda daha fazla tutarlılık sağlamaya devam etmeyi ve VIP topluluğumuz için özel eğitim ve fırsatlar sunmaya çalışıyoruz.
Hata ödülü topluluğundaki büyümemizi ve yolculuğumuzu sürdürmeyi sabırsızlıkla bekliyoruz ve her zaman daha fazla etkileşim kurmanın ve alınan geri bildirimlere göre hareket etmenin yollarını arıyoruz.