Администрация платформы для разработчиков Github вдвое увеличила награду за найденные уязвимости в рамках программы GitHub Security Bug Bounty. Теперь размер вознаграждения составляет $10 тыс. Данная программа действует в течение года, и за это время исследователи безопасности обнаружили 73 ранее неизвестные бреши в платформе.
Как отметил инженер безопасности Github Бен Тевз (Ben Toews) в своем блоге, из 1920 присланных специалистами отчетов об уязвимостях, 863 потребовали дальнейшего рассмотрения, которое привело к обнаружению ряда критических брешей. За период действия программы 33 исследователя получили вознаграждение на $50,1 тыс.
Наибольшее количество отчетов прислал разработчик Александр Добкин, в общей сложности заработав 23750 баллов. Добкин обнаружил ряд существующих в платформе проблем, включая уязвимость XSS через DOM (DOM Based XSS), которая позволяла обойти политику безопасности контента Github. Администрация ресурса призывает всех разработчиков и специалистов, обнаруживших ранее неизвестные бреши, отправлять уведомления о своих находках команде экспертов безопасности GitHub. (GitHub/NovostIT)