GitHub breidt zijn bugbounty-programma uit en verhoogt de beloningen voor het vinden van kwetsbaarheden in de codebase van het platform. Daarnaast is er nieuwe ‘safe harbor’-tekst aan de wettelijke voorwaarden toegevoegd om bugjagers beter te beschermen.



Voor de meest kritische kwetsbaarheden geldt nu een beloningsrichtlijn van 30.000 dollar. Al behoudt het door Microsoft opgekochte bedrijf “het recht om aanzienlijk meer te belonen voor echt baanbrekend onderzoek”.

Volgens Venturebeat zijn de verhoogde beloningen een erkenning voor onderzoekers. Het vinden van beveiligingskwetsbaarheden in de code van GitHub zou steeds moeilijker worden. Het bedrijf wil onderzoekers daarom des te meer belonen voor hun inspanningen.

617 tot 30.000 dollar

Gevonden kwetsbaarheden in de categorie ‘high’ zijn goed voor een beloning tussen de 10.000 en 30.000 dollar en daar waar sprake is van een ‘medium’ risico, krijgt de onderzoeker een bedrag tussen de 4.000 en 10.000 dollar uitgekeerd. De laagst categorie is nog steeds goed voor een bedrag tussen de 617 en 2.000 dollar.

GitHub starte het bugbounty-programma in 2014 en liet vorig jaar weten inmiddels meer dan 250.000 dollar aan beveiligingsonderzoekers te hebben uitgekeerd via onderzoekssubsidies, bugbounty-programma’s en live-hackingevenementen. Daarvan is 165.000 dollar uitbetaald via het openbare bugbounty-programma.

Om programmadeelnemers te beschermen tegen juridische risico’s van een veiligheidsonderzoek, heeft het bedrijf ‘Legal Safe Harbor’-voorwaarden toegevoegd aan zijn sitebeleid, op basis van CC0-gelicentieerde sjablonen.

Juridisch risico gedekt

De nieuwe voorwaarden dekken drie belangrijke bronnen van juridisch risico. Zo blijft een onderzoeksactiviteit beschermd en geautoriseerd, zelfs als een onderzoeker per ongeluk het toepassingsgebied van de premie overschrijdt. Ook beschermt GitHub onderzoekers tegen juridisch risico van derden, die zich niet willen binden aan hetzelfde ‘safe harbor’-beschermingsniveau.

De voorwaarden beschermen securityonderzoekers op een tweetal manieren bij het delen van rapporten met derden: identificerende informatie wordt niet gedeeld met een derde partij zonder schriftelijke toestemming en niet-identificeerbare informatie wordt niet gedeeld zonder de onderzoeker eerst op de hoogte te stellen. Bovendien is in deze schriftelijke toezegging van de derde partij nodig, dat deze geen juridische stappen tegen de onderzoeker zal nemen.

Als laatste voorwaarden haalt GitHub aan dat onderzoekers de sitevoorwaarden niet schenden, als hun activiteit specifiek bedoeld is voor bugbounty-onderzoek. Als een onderzoek bijvoorbeeld reverse engineering omvat, kunnen de beperkingen van de GitHub Enterprise-overeenkomst op reverse engineering zonder meer buiten beschouwing worden gelaten.

Industriestandaard

GitHub laat weten “bijzonder trots” te zijn op de hernieuwde voorwaarden. Er zouden maanden van juridisch onderzoek aan vooraf zijn gegaan. Het bedrijf laat weten dat deze voorwaarden als een industriestandaard beschouwd mogen worden. Andere organisaties worden dan ook aangemoedigd om ze vrijelijk over te nemen of aan te passen aan hun eigen bugbounty-programma’s.

Gerelateerd: EU financiert bugbounty-programma voor 14 opensourceprojecten