Microsoft aumenta recompensas de Bug Bounty do Github para US $ 30.000

O site de hospedagem de código da Microsoft, GitHub, removeu o limite de seu maior pagamento sob a recompensa do bug e tornou o programa mais vantajoso para os pesquisadores.

O GitHub está oferecendo ao seu bounty de segurança de cinco anos uma atualização com recompensas mais altas, mais produtos em busca de recompensas e novas proteções legais para hackers éticos.

A empresa removeu o limite máximo para pagar os pesquisadores por encontrarem bugs críticos. Em geral, os pesquisadores podem esperar entre US $ 20.000 e US $ 30.000 por bugs críticos, mas o GitHub diz que vai recompensar “significativamente mais por uma pesquisa verdadeiramente de ponta”. 

Também está aumentando as recompensas em níveis menores. Os bugs de alta gravidade oferecerão recompensas entre US $ 10.000 e US $ 20.000, e as recompensas de média gravidade entre US $ 4.000 e US $ 10.000, enquanto as recompensas de baixa gravidade estarão entre US $ 617 e US $ 2.000. 

“Avaliamos regularmente nossos valores de recompensas em relação aos colegas do setor. Também reconhecemos que encontrar vulnerabilidades de maior gravidade nos produtos do GitHub está se tornando cada vez mais difícil para os pesquisadores e eles devem ser recompensados ​​por seus esforços. Por isso aumentamos nossos valores de recompensa.” níveis “, disse Phil Turnbull do GitHub. 

Agora, todos os serviços primários hospedados no domínio do GitHub.com estão no escopo de recompensas, incluindo o GitHub Education, o GitHub Leaning Lab, o GitHub Jobs e o aplicativo GitHub Desktop. Do GitHub Enterprise Cloud é agora também incluído no programa, assim como os seus locais voltadas aos funcionários, githubapp.co e github.netdomínios.  

Por fim, o GitHub queria remover alguns dos riscos legais que o programa de recompensas de bugs expunha aos pesquisadores se eles violassem os termos do site em nome da pesquisa de segurança. Para resolver esse problema, o GitHub adicionou um novo conjunto de termos do Legal Safe Harbor à sua política de site com proteções claramente definidas.

Com o novo Legal Safe Harbor, os pesquisadores estão protegidos contra a violação dos termos do site do GitHub se suas ações forem especificamente para pesquisa de bugs. Os pesquisadores agora podem desconsiderar com segurança as restrições do Enterprise Agreement do GitHub sobre engenharia reversa. 

O GitHub também promete não processar os pesquisadores se eles ultrapassarem acidentalmente o escopo da recompensa, e proteger os pesquisadores de terceiros que não oferecem o mesmo nível de proteções de porto seguro.  

“Para incentivar a pesquisa e a divulgação responsável de vulnerabilidades de segurança, não iremos prosseguir com ações civis ou criminais, nem enviaremos um aviso à polícia por violações acidentais ou de boa-fé desta política”, diz o termo de segurança do GitHub. 

“Consideramos as atividades de pesquisa de segurança e divulgação de vulnerabilidades conduzidas de acordo com esta política como sendo conduta ‘autorizada’ sob a Lei de Fraude e Abuso de Computadores, a DMCA e outras leis aplicáveis ​​de uso de computadores, como Cal. 502 (c). qualquer reivindicação DMCA em potencial contra você por contornar as medidas tecnológicas que usamos para proteger os aplicativos no escopo deste programa de recompensas de bugs. “