首页 > 动态 > 关键词 > GitHub最新资讯 > 正文

GitHub 2017年为漏洞支出105万元:翻一番还多

2018-03-19 00:12 · 稿源:快科技

去年,GitHub向安全研究人员支付了总计166495美元的奖励,约合人民币105万元。针对GitHub这个为期四年的“漏洞赏金”项目,安全研究人员会上报自己发现的系统问题和漏洞。

2016年,GitHub一共支付了81.7万美元,而去年的支出总额显然已经翻了一倍多,几乎相当于前三年的总支出(17.7万美元)。在2014和2015两年时间里,他们一共支付了95.3万美元的奖金。

2017年,GitHub一共收到了840份漏洞报告意见书,但是最终解决问题并获得奖金的比例只有15%(约121份)。

2016年,GitHub共收到了795份漏洞报告意见书,最终获得奖励的只有73份,而其中只有48份有效报告最终被罗列在了漏洞赏金项目的主页上。

有效报告的数量上升推动了总支出的增加,也导致了GitHub在去年十月重新评估其支付结构。结果就是,奖金增加了一倍,其中最低奖金为555美元,最高奖金高达20000美元。

GitHub的Greg Ose指出,随着参与的项目、计划和研究人员规模不断增加,去年是迄今为止支付赏金最多的一年。

不仅如此,他们还把GitHub Enterprise引入到漏洞赏金项目之中,让研究人员能够在GitHub.com平台上一些未公开的、或是特定于某个企业部署的领域里找到漏洞。

Ose说道:“去年年初,很多漏洞报告涉及到了我们的企业认证方法,这也促使我们不得不在内部关注这个问题,而且我们也在研究如何让研究人员也关注这个功能。”

此外,Ose还表示,GitHub已经发布了首个研究人员捐赠,也是他们长期以来关注的一项举措。这项工作会为挖掘应用程序特定功能或领域的研究人员支付固定金额。当然,其他任何发现漏洞的人也能够通过漏洞赏金项目获得奖励。

去年,GitHub还推出了私人漏洞补丁服务,让用户能够限制生产漏洞的影响范围。不仅如此,他们还进行了内部改进,以更有效进行漏洞分类和修复提交,并计划在今年进一步完善流程。

现在,GitHub希望进一步扩大2017年所取得成绩,推出更多私人奖励和研究补助金,以便在代码公开发布之前及之后引起大家的关注。该公司还计划在今年晚些时候,推出额外的奖励计划。

Ose总结道:“鉴于漏洞赏金项目取得了成功,我们现在正考虑如何扩大其范围,为我们的生产服务提供更多帮助,同时保护整个GitHub生态系统。我们很期待下一步工作,并且会在今年对提交的漏洞内容进行分类和修正。”

  • 相关推荐
  • 大家在看
  • GitHub将替换master、slave等术语 反对种族歧视

    DoNews 6月15日消息(记者 刘文轩)GitHub CEO Nat Friedman在Twitter表示,GitHub将使用中性词如“main”去替换“master”这个让人联想到奴隶制的术语。GitHub 成为最新一个支持移除可能冒犯部分群体的术语的公司。包括“master”和“slave”将被替换为“main/default/primary”和“secondary”,“whitelist”和“blacklist”将被替换为“allow list”和“deny/exclude list”。最近几周,由于“Black Lives Matter”的抗议活动?

  • GitHub将替换掉 master 等术语 以避免联想到奴隶制

    近日代码托管平台GitHub CEO Nat Friedman公开表示,该公司将使用中性词如“main”替换“master”一词,避免让人联想到奴隶制的术语。

  • openEA专访丨浅谈开源的未来:中国开源社区建立是关键

    摘要:今天,openea.net重新上线,这次社区会给我们哪些便利呢?未来的发展方向又是什么呢?听说这次改版增加很多额外价值包!开源君独家采访了社区建设与运营相关负责人,现在带大家一起走进openEA开源社区吧。openEA开源社区(ID:openEA)| 出品小夕 | 编辑Dream | 作者开源君 | 采访openEA运营部 | 受访开源,天生带有“共享精神”的基因,开源生态同时也是被验证过的商业模式。目前国内领先的互联网企业也在开源领域争相布局:

  • 通过这个方法,他3个月内从GitHub赚了56万元

    Caleb Porzio(卡莱布·波齐奥)是一名开发人员,曾在一家名为Tighten的软件公司就职。当时,波齐奥的年收入约为 9 万美元:开发人员的薪水变化非常大,但波齐奥的年收入基本稳定在 9 万美元左右,再加上他妻子的收入和一些额外的收入,存一笔钱以备不时之需已经足够。

  • GitHub今日的宕机事件影响数千名软件开发者

    今天上午,GitHub发生服务瘫痪的情况,对于数千名软件开发者来说是一个灾难。这家微软旗下的服务通过Git提供版本控制,并为软件开发提供托管的重要服务宕机一个多小时。故障表现在GitHub用户在登录该服务时出现了错误,一些用户甚至无法使用他们的集成开发环境(IDE),因为软件开发环境与该服务的联系非常紧密。

  • openEuler开源社区成立Ceph SIG

    「中国,深圳, 2020 年 6 月 16 日」今天,openEuler开源社区(以下简称“openEuler社区”)正式成立Ceph SIG(Special Interest Group 特别兴趣小组),完善openEuler操作系统在分布式存储场景的适配。openEuler社区参与者和用户可获得由专业存储团队维护的稳定的Ceph版本构建分布式存储系统,并通过openEuler社区获得技术支持。 Ceph是一个具备高性能、可靠性和可扩展性的分布式存储解决方案,可以同时提供块、文件和对象三种服务

  • 周鸿祎调侃潘石屹学python:他写的估计一百行里有十个漏洞

    在 6 月 20 日极客公园联合bilibili举办的Rebuild2020的对话中,360董事长周鸿祎谈到漏洞不可避免的原因称,一是人写代码的技术漏洞,二是违背安全规则的人性漏洞。

  • 2019 年热门开源项目中的漏洞增加了一倍以上

    ​RiskSense 发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。

  • TheShy正式入驻快手 theshy快手账号是多少

    6月10日,IG战队正式宣布上单选手TheShy入驻快手,同时也公布了theshy在快手平台的账号ID,对于喜欢theshy的选手,可以前往快手来关注他的动态啦。

  • Python取代Excel?风变编程带你了解如何更好地学Python!

    当前最简单、最流行的编程语言是什么?是Python。最近,谷歌公布的编程语言流行指数显示,Python目前仍然是全球范围内最受欢迎的技术语言。而得益于简洁、易读、易维护等特点,Python可广泛运用于数据分析、人工智能、爬虫、运维、测试、图像识别、机器学习等领域,在日常数据分析方面,甚至已有“Python取代Excel”的说法。那么,Python是否真的有这么牛?接下来,风变编程就带你了解一波。“Python已经取代了Excel”今年3月,日?

  • OPPO 加入 OpenChain,与谷歌微软共建开源许可标准

    据外媒彭博新闻社 10 日报道,2020 年 5 月 27 日,OPPO 正式成为内地首家OpenChain 白金会员,与谷歌、微软、ARM等行业领军企业一起,参与开源许可标准的制定,共建更加健康的全球开源体系。 OpenChain 作为 Linux 基金会下的项目,旨在制定开源软件供应链标准,帮助各种组织更高效地解决开源许可证一致性地问题。通过 OpenChain 认证后,开源许可流程将更为轻松。目前 ARM、微软、谷歌、高通等各领域巨头纷纷加入 OpenChain,为

  • 兴趣社区产品还有救吗?

    即刻最近复活了,大家都知道我一直比较关注社区产品方面的东西,这篇文章会继续随意写下社区这个话题,有些内容扯的比较远,也与以前的文章有部分重叠。至于我们对于即刻的简单看法,放在了本文最后部分。

  • 早期红利不等人,开源征信助你把握信用经济财富先机

    古人说:“人无信不立,业无信不兴”。在如今信用经济时代,个人信用就更显重要,无论是就业升职、资格审查、出国签证、评先评优,还是买房买车办贷款,都绕不开征信,因此,建立与健全个人征信体系已经成为经济发展的要求之一。然而,目前我国的征信体系建设并不全面,一个完整的征信产业链应当包含前端的征信业务,中端的信用监测和后端的信用修复,相比于火热的前端市场,我国信用修复业务却发展缓慢,成为整个征信系统建设的薄

  • 进击的B站,矛盾的社区产品

    互联网创业者们都有着一个共识。那就是在互联网浪潮里,有两件最难做的产品,第一件是社交,第二件是社区,而这一度导致互联网社区产品想要做大与做好,一直以来都是一个伪命题。

  • Python 和 Go 成为年度最受欢迎的黑客工具榜首

    网络安全公司 Imperva Cloud WAF 近期分享了其在 2019 年一年内针对网络安全事件的观察。对数据进行聚类分析后,他们得到了如下结论:

  • WhatsApp漏洞或已暴露用户的手机号码

    某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。

  • 华为开源数据虚拟化引擎openLooKeng:统一SQL接口

    华为在开源软件上又迈出了坚定一步,正式宣布开源数据虚拟化引擎openLooKeng,开源社区官网(https://openlookeng.io)同步上线。openLooKeng致力于为大数据用户提供极简的数据分析体验,让用户

  • 索尼悬赏35万征集PS4漏洞:避免破解

    其实早今年就有关于PS4和Xbox One被破解的消息流出,其方法并不假,只是限制重重,远非完美方案,同时,索尼、微软方面也通过和黑客的沟通,保持自己的系统更新先于破解一步。据外媒报道,索尼

  • 社区团购资本大跃进,旧瓶子有了新酒?

    经历了 2019 年的集体暴雷,如今的资本似乎又疯狂涌入了生鲜电商平台,不过。这次,资本看上的却是除前置仓的另一条赛道—社区团购。

  • 报告:JavaScript为最常用整体编程语言 Python超过Java

    在过去的 12 个月中,Python在使用的编程语言列表中已经超过了Java,它也是被研究最多的语言。报告称,在过去的 12 个月里,30%的受访者开始或继续学习Python,甚至比去年还要多。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议