O mundo inteiro funciona com software e boa parte disso, especialmente o software open source que faz parte de tudo que usamos, é construído diariamente por milhões de pessoas desenvolvedoras no GitHub. Por isso, o GitHub investe fortemente na segurança da plataforma e em ajudar pessoas desenvolvedoras a construírem software seguro – da criação do GitHub Security Lab ao lançamento de ferramentas como o escaneamento de credenciais, e a adoção pioneira de um programa de recompensas por bugs em 2014. A segurança é fundamental para a missão da empresa, e o GitHub se alia à comunidade e pessoas pesquisadoras de segurança para manter a plataforma, seus produtos e clientes mais seguros.
O Security Bug Bounty Program (Programa de Recompensas por Bugs, em tradução livre) do GitHub convida pessoas de todo o mundo para encontrar e relatar bugs, oferecendo recompensa por envios válidos e pertinentes. Em 2021, o GitHub recebeu 1.363 submissões em seus programas públicos e privados, e viu o número de contribuintes crescer em 21% – sendo que 18% estavam reportando bugs pela primeira vez. A partir dessas contribuições, o GitHub distribuiu US$ 803.769 em recompensas para 235 relatos de vulnerabilidades, com o pagamento recorde sendo de US$ 50K em novembro de 2021 – resultando em um total de US$ 2.355.773 pagos desde 2016.
Em 2021, uma pessoa pesquisadora de bug com o username “yvvdwf” descobriu uma vulnerabilidade no GitHub Enterprise Server (GHES) que permitia que um atacante abrisse um caminho transversal para ler arquivos no GHES. Essa pessoa não apenas reportou essa descoberta inicial, mas ajudou a testar a correção quando ela estava disponível. Os testes e análises das variantes do bug também levaram à descoberta de um desvio na correção inicial, o que permitiu ao GitHub garantir ainda mais a segurança do produto. Pelo esforço contínuo, “yvvdwf” recebeu um bônus por ajudar a testar, e uma recompensa adicional pelas descoberta extra – somando US$ 50K.
Como você pode ser recompensado por encontrar bugs
O GitHub valoriza a criatividade e o conhecimento técnico que pessoas pesquisadoras trazem para o programa de recompensas por bugs, e continua a se aliar à comunidade de pesquisa de segurança para garantir a segurança da plataforma.
Pessoas pesquisadoras de todos os níveis são bem vindas para enviar vulnerabilidades ao programa por meio do HackerOne. As submissões devem incluir detalhes por escrito que permitam a reprodução da vulnerabilidade; depois, o time de segurança do GitHub avaliará o relatório e o validará com base em diretrizes de grau de severidade – ameaça baixa, média, alta ou crítica. Os pagamentos variam com base no grau da ameaça, e vão de US$617 a US$30K, com pagamentos mais altos concedidos a relatórios excepcionais.
Pensando no futuro, o GitHub vai continuar a incentivar os pesquisadores de segurança. Além de recompensas em dinheiro, a empresa também vai se concentrar em introduzir mais recompensas não-monetárias para reconhecer os relatórios que não se encaixam nos critérios para pagamento. Ao criar diferentes recompensas para diferentes motivações, como dinheiro ou reconhecimento, a esperança é melhorar cada vez mais o relacionamento com a comunidade.
Com a aproximação do nono ano do seu programa de recompensas por bugs, o GitHub vai continuar a melhorar o programa para garantir uma experiência melhor para as pessoas envolvidas, como pesquisadores e engenheiros. Em 2023, a comunidade pode esperar melhoras nos tempos de resposta, maior participação com sua comunidade de hackers, e recompensas contínuas e competitivas a quem contribuir reportando bugs e vulnerabilidades. Saiba mais sobre o Security Bug Bounty Program do GitHub em https://bounty.github.com/.