程序员最爱的 GitHub 在 2014 年开展了一项为期 4 年的漏洞奖励计划，到 2017 年已经是第四年。这四年间，累计发放的漏洞赏金约 35 万美元（按照 3 月 19 日汇率约2216095 元）。其中，前两年累计为 95300 美元，2016 年为 81700 美元，而 2017 年是 2016 年的 2 倍多，达 166495 美元（按照 3 月 19 日汇率约 1054163 元）。

2017 年全年，GitHub 累计收到 840 个漏洞提交报告，但是只有 121 个（15%）得以解决并获得奖金。2016 年，GitHub 共收到 795 个漏洞提交报告，其中只有 73 分有效内容获得奖励，且只有 48 个真正有技术含量，登上了 GitHub 漏洞奖励项目的主页。由于收到有效漏洞数量不尽如人意，所以 GitHub 在 2017 年 10 月重新评估了其支出结构，提高了奖金金额。最终，漏洞赏金增加了一倍，最低额度为 555 美元一个，而最高达到 2 万美元一个。

多项手段鼓励漏洞提交，增加安全性

GitHub 的 Greg Ose 指出，由于以上整改，参与的项目、计划和研究人员规模都不断增加，2017 年 GitHub 支付的赏金是有史以来最多的。此外，他们把 GitHub Enterprise 新版块添加到漏洞奖励项目中，鼓励安全研究员提交 GitHub.com 平台上未公开的或者某些特定的企业部署中比较重要的关键漏洞。

Ose 说：

2017 年伊始，我们收到一系列影响企业认证方法的漏洞报告，这促使我们在内部关注这个问题，并且也开始关注如何才能让研究员关注到这一新版块。

此外，Ose 还表示他们已经发起了首个研究人员补助项目，实现了他们长久以来关注的一个目标。这个项目会为挖掘应用程序特定功能或领域中漏洞的研究人员发布固定金额的奖励。当然，其他发现漏洞的人员也可以通过这个项目获得奖励。

2017 年，GitHub 还推出了私人漏洞补丁服务，可以限制生产过程中漏洞的影响范围。此外，他们还在内部进行改进，以便更有效地分类并修复收到的漏洞。2018 年，他们也将进一步完善流程。

现在，GitHub 希望进一步扩大 2017 年所取得成绩，推出更多私人奖励和研究补助，以便在漏洞公开发布过程中（包括之前和之后）引起大家的关注。他们计划在今年晚些时候推出其他奖励计划。

Ose 总结道：

我们的漏洞赏金项目已经取得了成功，现在正考虑如何扩大范围，为我们的生产服务提供更多帮助，同时保护整个 GitHub 生态系统。我们很期待下一步工作，并且会在今年分类并修复研究人员提交的漏洞。

*参考来源：SecurityWeek，AngelaY 编译整理，转载请注明来自 FreeBuf.COM。