GitHub Paid Out $1.5 Million in Bug Bounties in 2022
2023/08/16 SecurityWeek — 8月15日 (火) に Microsoft 傘下の GitHub は、$1.57 million にのぼるバグ報奨金を、2022年2月〜2023年2月の間に支払ったことを発表した。このバグ報奨金プログラムは、2016年から HackerOne プラットフォーム上で実施されているものだが、GitHub は総額で $3.8 million を支払っている。
昨年の GitHub は、2,000件以上の脆弱性報告を受け、364件のセキュリティ欠陥に対して報奨金を授与した。なお、最も多くの脆弱性を報告したのは、2022年6月にオースティンで開催された H1-512 Live Hacking Event であった。
このハッキング・イベントに、リモート/リアルで参加した 45人の研究者たちにより、提出された 182件のうちの約半数が検証され、GitHub から $700,000 のバグ報奨金が手渡された。
GitHub は、「H1-512 は、ハッカーたちの興奮と情熱を直接体験できるという意味で、私たちのチームにとって素晴らしい機会だった。このイベントにより、ハッカーたちとの間にある壁を取り払われ、有意義なつながりを作ることができた」と述べている。
GitHub Enterprise Server (GHES) と Open Source Project における脆弱性の報告について、GitHub は CVE 識別子を用いる限定的な公開を開始し、HackerOne を通じて多くのレポートを公開する予定だという。
さらに GitHub は、報告を行う研究者に対する報酬を増大させるための、新しい方法を模索し続けている。つまり、ホワイト・ハット・ハッカーを引きつけるために、金銭以外での報酬で補完するとしている。
GitHub は、「私たちは、あらゆるレベルの研究者が、バグ報奨金プログラムにレポートを提出することを奨励している。皆さんの報告は、GitHub の製品/ユーザー/コミュニティにおける安全性と、セキュリティを確保するために極めて重要であり、インパクトがある」と述べている。
バグバウンティにより、経済が回るのは、とても良いことだと思います。これまでの関連記事の中で、最も印象に残っているのが 2022/07/30 の「バグバウンティ・プログラム市場の需要と供給:誰もが幸せになれない現状を考える」なのですが、状況は改善の報告へと向かっているのでしょうか?
IoT OT Security News 
You must be logged in to post a comment.