Le programme Bug Bounty de GitHub prend de l'ampleur

Le programme Bug Bounty de GitHub a maintenant cinq ans et c'est l'occasion de réorganiser la portée, les récompenses et les nouvelles règles juridiques du programme.

En 2018, la société a versé 250 000 USD aux chercheurs. 75% de cela provient du piratage en direct de HackerOne aux États-Unis l'an dernier, lorsque les chercheurs ont découvert 43 vulnérabilités. L'une de ces vulnérabilités était une vulnérabilité de gravité critique trouvée dans GitHub Enterprise Server.

À compter de 2019, GitHub étend la portée du programme Bug Bounty pour inclure les vulnérabilités de tous les services de première partie sous github.com. Ces services incluent notamment GitHub Education, les travaux GitHub du laboratoire d’apprentissage GitHub et notre application GitHub Desktop. 

La portée du serveur d'entreprise de GitHub s'est également étendue pour inclure le nuage d'entreprise.

«Il ne s'agit pas uniquement de nos systèmes en contact avec les utilisateurs. La sécurité des données de nos utilisateurs dépend également de la sécurité de nos employés et de nos systèmes internes. C'est pourquoi nous incluons également tous les services de première partie dans nos domaines githubapp.com et github.net destinés aux employés »

écrit Philip Turnbull de GitHub.

Le système de récompenses du Bug Bounty a également été étendu à tous les niveaux, pas seulement à ceux dont le niveau de gravité est critique. En outre, il existe désormais un maximum de récompenses pour une vulnérabilité critique, car GitHub vise à récompenser davantage les recherches de pointe.

Le nouveau système de récompense pour les vulnérabilités est le suivant:

• Critical: 20 000 $ - 30 000 $ et plus
• Haute: 10 000 $ à 20 000 $
• Moyen: 4 000 $ à 10 000 $
• Faible: 617 $ - 2 000 $

«Nous reconnaissons également qu'il est de plus en plus difficile pour les chercheurs de trouver des vulnérabilités de gravité élevée dans les produits de GitHub, et ils devraient être récompensés pour leurs efforts»

a déclaré Turnbull.

Enfin, GitHub a introduit dans la politique de son site les termes légaux de Safe Harbor visant à protéger les chercheurs en primes de risques juridiques.

Turnbull explique les trois principales sources de risque juridique ci-dessous.

• Votre activité de recherche reste protégée et autorisée même si vous dépassez accidentellement la portée de notre programme de primes. Notre sphère de sécurité comprend désormais un engagement ferme à ne pas engager de poursuites civiles ou pénales, ni à soutenir toute poursuite ou action civile intentée par des tiers pour les activités de recherche du programme de primes des participants. Vous restez protégé même en cas de violation de bonne foi de la politique de primes. 
   
• Nous ferons de notre mieux pour vous protéger contre les risques juridiques de tiers qui ne s'engageront pas dans le même niveau de protection. Nos conditions de sphère de sécurité limitent désormais le partage de rapports avec des tiers de deux manières. Nous ne partagerons que des informations non identifiantes avec des tiers, et uniquement après vous en avoir informé et avoir obtenu l'engagement écrit de ce tiers de ne pas engager de poursuites judiciaires à votre encontre. Sauf autorisation écrite de notre part, nous ne partagerons aucune information d'identification avec des tiers. 
   
• Vous ne violerez pas les termes de notre site si c'est spécifiquement pour la recherche de primes. Par exemple, si votre recherche dans le domaine inclut l'ingénierie inverse, vous pouvez ignorer en toute sécurité les restrictions de GitHub Enterprise Agreement relatives à l'ingénierie inverse. Notre sphère de sécurité prévoit désormais une dérogation limitée aux parties pertinentes des conditions générales et des politiques de notre site. Cela protège contre les risques juridiques les règles anti-contournement DMCA ou des clauses contractuelles similaires qui pourraient autrement interdire des tâches de recherche nécessaires, telles que le reverse engineering ou le code de désobfuscation.

Turnbull ajoute que les autres organisations sont invitées à considérer ces termes comme un exemple industriel des meilleures pratiques en matière de sphère de sécurité.

«Nous encourageons les autres à les adopter, les utiliser et les modifier librement pour s’adapter à leurs propres programmes de primes. En créant ces termes, nous visons à aller au-delà des normes actuelles en matière de programmes Safe Harbor et à fournir aux chercheurs la meilleure protection possible contre les risques criminels, civils et juridiques. Les termes ont été révisés par des chercheurs experts en sécurité et sont le produit de plusieurs mois de recherches juridiques et de revues d'autres programmes de sphère de sécurité ».

Source : security