Bug Bounty高级产品安全工程师安全研究社区是GitHub最大的资产之一。每年,来自世界各地的研究人员都会帮助我们发现和修复漏洞,为超过1.8亿开发者提供更安全的平台。我们的漏洞赏金计划之所以存在,是因为我们相信与外部研究人员合作是提高安全性的最有效方法之一,我们仍然坚定地致力于此。
但就像每个漏洞赏金计划一样,我们正在适应不断变化的环境。我们想分享我们所看到的,我们正在做些什么,以及我们如何看待像GitHub这样的平台的安全边界。销量问题在过去一年中,整个行业的提交量大幅增长。
包括人工智能在内的新工具降低了安全研究的进入门槛,这在许多方面都是一个积极的发展。更多人探索攻击面意味着有更多机会发现真正的问题。然而,随着合法举报数量的增加,没有显示出实际安全影响的提交数量急剧增加。
其中包括没有概念证明的报告、没有经过审查的理论攻击场景,以及我们发布的不合格列表中已经涵盖的调查结果。这不是GitHub独有的。整个行业的计划都在努力应对同样的挑战,有些计划已经完全关闭。我们不想走那个方向。相反,我们希望投资改善我们的计划。
什么是强有力的提交我们正在提高我们认为完整的提交的标准。今后,我们将根据以下标准对报告进行更严格的评估:具有安全影响的工作概念证明。向我们展示影响力,而不仅仅是描述它。攻击者实际上可以实现什么?我们需要一个有效的概念证明,以证明真正的剥削和具体的安全影响。