Bug Bounty : Github annonce 1,5 million de dollars versés

Spread the love
Bug Bounty : Github annonce 1,5 million de dollars versés

Au cours de l’année écoulée, plus d’un demi-million de dollars ont été versés en récompense aux chercheurs participant au programme de bug bounty de GitHub, ce qui porte le total des versements à plus de 1,5 million de dollars depuis le lancement du programme il y a 7 ans.

Les programmes de bug bounty sont désormais un moyen courant pour les fournisseurs d’obtenir l’aide de chercheurs tiers pour sécuriser leurs produits et services. Il y a quelques années, il était parfois difficile de divulguer des bugs en privé et de nombreuses entreprises ne disposaient pas d’un contact ou d’un portail dédié aux rapports de vulnérabilité, mais aujourd’hui, des crédits et des récompenses financières sont souvent proposées.

publicité

Github affirme que 2020 “a été l’année la plus chargée à ce jour” pour le programme.

“De février 2020 à février 2021, nous avons traité un volume de soumissions plus élevé que toute autre année précédente”, indique GitHub.

Au total, 1 066 rapports de bugs ont été soumis à travers les programmes public et privé de GitHub au cours de l’année, et 524 250 dollars ont été attribués pour 203 vulnérabilités. Depuis 2016, date à laquelle GitHub a lancé son programme public sur HackerOne, les récompenses atteignent désormais 1 552 004 dollars.

La portée du programme de GitHub comprend de nombreux domaines appartenant à GitHub et des cibles telles que l’API, les actions, les pages et Gist de GitHub. Les problèmes critiques, notamment l’exécution de code, les attaques SQL et les tactiques de contournement de l’authentification, peuvent rapporter aux chercheurs jusqu’à 30 000 dollars par rapport.

GitHub fonctionne également selon le principe du Safe Harbor, selon lequel les chasseurs de bugs qui adhèrent aux politiques de divulgation responsable sont protégés de toute conséquence juridique potentielle de leurs recherches.

L’entreprise affirme qu’au cours de l’année écoulée, une soumission est devenue son bug “préféré”. William Bowling a réussi à développer un exploit qui attaque les gestionnaires de requêtes pour déclencher une redirection ouverte et compromettre les flux OAuth des utilisateurs de Gist.

Ce rapport a valu à Bowling une récompense de 10 000 dollars.

GitHub est également devenu une autorité de numérotation CVE (CNA) en 2020 et a commencé à publier des CVE pour les vulnérabilités de GitHub Enterprise Server.

Plus tôt ce mois-ci, Github a mis à jour ses politiques sur le partage de logiciels et de codes à “double usage”. Ce terme désigne les logiciels peuvent non seulement être utilisés pour mener des recherches sur la sécurité, mais aussi être adoptés par des attaquants.

GitHub a mis à jour ses conditions pour supprimer le cadre “trop large” utilisé pour décrire les logiciels “à double usage”, y compris les outils tels que Mimikatz. L’objectif de cette évolution est de “permettre explicitement” le partage et d’éliminer les risques pour les chercheurs en cybersécurité.

Source : “ZDNet.com”

Leave a Reply