バグを公開せずに報告したら報奨金がもらえるよ、という報奨金制度は日本を含めかなりの企業に普及しました。
今やこれで食っている人も多々いるみたいです。
もちろん制度を取り入れていない企業も多くあり、そういうところに報告しても何もくれないどころか逆に訴えられることもあるので調査対象には気をつけましょう。
さてGitHubがバグバウンティを始めたのは2013年と、意外にもかなり遅い部類に入ります。
しかし有名サイトだけあってよく狙われるようで、これまでに支払われた最高賞金額は5万ドル、そしてこれまでに支払った累計賞金額は400万ドル以上だそうです。
いっちょあやかりたいところですね。
さて9年目のバグバウンティプログラムの結果が2023/08/14に発表されていました。
以下は該当の記事、Nine years of the GitHub Security Bug Bounty programの紹介です。
Nine years of the GitHub Security Bug Bounty program
今年も、記録的なバグバウンティプログラムの一年になりました。
2022年にコミュニティと共に成し遂げた成果の一端を紹介します。
GitHubのバグバウンティプログラムは9年目を迎え、新たな高みに到達しました。
2022年の業績を紹介し、そしてこれからの10年目には何が起こるのか、少しばかりお見せしましょう。
昨年の業績報告において、我々は次の1年の目標を示しました。
HackerOneと共にハッキングイベントを開催すること、プライベートなバウンティ契約を増やすこと、そして金銭以外のインセンティブを増やすことです。
これらの目標を達成したうえ、支払われた総額は300万ドルを超え、さらに社内のバウンティチームも成長しました。
セキュリティはGitHubのミッションの中核です。
我々のバグバウンティプログラムが成功した要因は、優秀なハッカーたちとのパートナーシップであると考えています。
2022 highlights
2022年2月から2023年2月までのハイライトを紹介します。
・364件の脆弱性に対して$1,576,364の報奨金を支払いました。
2016年以降、HackerOneを通して支払った報奨金の総額は$3,839,287です。
・2022年6月にはライブハッキングイベントH1-512
が開催され、294件の報告という新記録になりました。
・HackerOne H1-512
が開催されました。
・VIP swagをはじめとした記念品ストアを開店。
・研究者からの18000ドルの寄付金と合わせ、37,234ドルを様々な慈善団体に寄付しました。
・プログラムへの参加者は21%増加し、初めての報告者は58%も増えました。
H1-512
2022年6月6日から17日にかけて、オースティンでライブハッキングイベントH1-512を開催しました。
この2週間のイベントでは19か国から45名の参加者を招き、主にGitHub Copilot、Codespaces、そして最近一般提供を開始したcode searchを中心に、GitHubから脆弱性を見付けてもらうことに集中してもらいました。
イベント期間中は報奨金が増額され、さらに優れたレポートや重要分野については特別ボーナスも提供されました。
彼らは合計182件ものレポートを提出し、そしてそのうち94件52%が有効な脆弱性と判断されました。
最終的に、このイベントの報奨金は総額696,000ドルとなりました。
(発見者が非営利団体に寄付することを希望し、実際に寄付した137,975ドルを含む)
このイベントで最も並外れた手腕を発揮したAlex Chapman (@ajxchapman) を、最優秀ハッカーと称えます。
H1-512は、現在活躍中のハッカーたちの情熱と刺激を直接に体験することのできる素晴らしい機会でした。
このイベントで我々は、ディスプレイという彼らとの壁を打ち破り、有意義なコネクションを作ることができました。
我々の感謝を伝えるため、プレゼンテーションに耳を傾け、12日の間に生まれたミームを広め、ライブで直接質問に答えてもらったりと、ハッカーたちのコミュニティを応援することに注力しました。
Swag store
我々は、金銭的報酬以外に金銭以外の報酬も拡大する機会を検討してきました。
コミュニティからのフィードバックと議論を重ねた結果、最も需要があり、みんなが好きなものがわかりました。
すなわち、オリジナルグッズです。
ハッカーたちが、バグバウンティプログラムに参加していることや、GitHubとのパートナーシップに参加していることを、もっとアピールする機会を欲していることを我々は知りました。
そこで我々はエキサイティングなアイテムをデザインし、今年のはじめにGitHub Bug bounty swag storeを立ち上げました。
現在では全てのバグ報告は、報奨金だけではなくオリジナルグッズももらえる可能性があります。
Limited disclosure
バグを発見する醍醐味のひとつが、それを仲間と共有できることであり、それがハッカー体験の重要な一部分であると我々は理解しています。
そこで我々は、パートナーシップの試みのひとつとして、GitHub Enterprise Serverとオープンソースプロジェクトに対して発行されたCVEレポートの限定公開をはじめました。
HackerOneプラットフォームを通じて多くのレポートを開示し、チームの能力を拡大し続けることを目指しています。
Researcher highlight
2022年10月、サイバーセキュリティ意識向上月間を期にResearcher Spotlightを復活させました。
コミュニティにおいて周囲からの評価はたいへん重要なものであり、そしてインタビューはその絶好の機会です。
インタビューでは、彼らハッカーが賞金稼ぎになるまでの道のり、彼らの思考ルーチン、そして彼らの方法論の共有を試みます。
今年は、我々のプログラムに積極的に参加し、多くの発見をしてくれた@ahacker1にスポットライトを当てました。
Thank you!
我々は、ハッカーコミュニティの測り知れない才能と創造性に驚かされ、またバウンティプログラムと参加者の成長を楽しみにしています。
我々は、あらゆるレベルの研究者に対して、バウンティプログラムに参加してくれることを勧めています。
あなたの報告は、当社製品、ユーザ、コミュニティのセキュリティと安全性を高めるための重要な価値を持っています。
プログラムの範囲、ルール、報酬などの詳細についてはウェブサイトをご覧ください。
来年はいよいよ10周年を迎えます。
これは大きな節目であり、我々はバウンティプログラムのさらなる改善を追い求めています。
今年の課題は、コミュニケーションと報酬の透明性を高めること、パブリックプログラムとプライベートプログラムの継続的発展、コミュニティ内でのチームの存在感向上などです。
バウンティプログラムに参加してくれたハッカーの皆さん、本当にありがとうございました。
ハッピーハッキング!