多年来,GitHub 通过为研究人员提供相应的奖励和对应的法律安全条款来改进其 bug,这一规则似乎没有因为微软收购而停止,并被爆出今年的奖金将全面提升。
最近,代码托管网站 GitHub 在一份报告中表示,已经根据其 bug 奖金计划取消了最高支付上限,并进一步降低该计划对研究人员的法律风险。未来,GitHub 将给予各级别 bug 更高奖励,更多产品被列入奖励范围,对黑客将会出具新的法律保护。
该公司取消了对研究人员发现关键 bug 的最大奖金限额。一般来说,研究人员发现关键 bug 的奖励在 20000 到 30000 美元之间,但 GitHub 表示,目前在产品中发现严重程度较高的漏洞对研究人员来说更加困难,因此将为真正的前沿研究提供更多奖励。
多年来,bug 赏金分为四种不同的严重性类别,包括低、中、高和关键,其他水平的奖金额度也将上提。比如,高严重性 bug 将提供 10000 至 20000 美元奖励,中等严重性 bug 奖励范围介于 4000 至 10000 美元之间,而低严重性 bug 则介于 617 至 2000 美元之间。
目前,GitHub.com 域下托管的所有一手服务都在奖励范围内,包括 GitHub Education、GitHub Leaning Lab、GitHub Jobs 和 GitHub Desktop 应用程序。GitHub 的企业云现在也包含在该计划中,面向员工的站点 githubapp.com 和 github.net 域也是如此。
最后,GitHub 希望消除其 bug 赏金计划对研究人员存在的法律风险,GitHub 在其网站政策中添加了一套新的法律安全条款,并提供明确保护措施。
通过新的法律条款,研究人员可以避免违反 GitHub 网站条款,如果他们的行为专门针对 bug 赏金计划将不会被起诉,可以放心忽视 GitHub 协议对逆向工程的限制。如果不小心超越了 bug 赏金计划范围,GitHub 也会保护研究人员不受同等级别安全条款困扰,并表示不会起诉研究人员。
本文转自极客时间,原文地址https://time.geekbang.org/column/article/83547#previewimg
