Bug Bounty : GitHub franchit allégrement le million $ de primes

Initié en 2014, le programme GitHub de primes de chasse aux bugs informatiques prend de l’ampleur. « De février 2020 à février 2021, nous avons traité un volume plus élevé de contributions que les années précédentes », a déclaré Greg Ose, directeur ingénierie de sécurité produits. GitHub précise avoir reçu « 1066 contributions » via ses programmes privés et publics de bug bounty sur la période.

Selon l’entreprise, les premières réponses aux contributeurs ont été fournies dans les 13 heures en moyenne, soit 4 heures de moins qu’en 2019. La plateforme de développement et de code partagé indique également avoir validé et trié des rapports de vulnérabilité dans les 24 heures. Quant aux primes, elles auraient été versées 24 jours, en moyenne, après la soumission d’un rapport valide.

Sur la seule année 2020, 524 250 dollars ont ainsi été attribués à des chercheurs en sécurité pour avoir découvert et résolu 203 vulnérabilités dans les produits et services GitHub, précise la filiale de Microsoft. Et, depuis 2016, lorsque le programme GitHub de bug bounty a été porté par HackerOne, les sommes versées par GitHub aux chasseurs de failles critiques ont dépassé 1,5 million de dollars. La dynamique doit se poursuivre.

Investir dans une équipe dédiée

2021 est une année « d’importants investissements et de croissance pour le programme de sécurité de GitHub », a expliqué Greg Ose.

« En juin, nous avons créé une nouvelle équipe interne dédiée à l’exécution et à la croissance de notre programme de bug bounty. Cette équipe va contribuer à l’accélération de notre processus de tri et de réponse, ainsi qu’au déploiement de nouvelles initiatives, dont des événements live autour du hacking et l’ajout de programmes privés de bug bounty supplémentaires », a-t-il ajouté.

Ces annonces interviennent après que GitHub a récemment indiqué clarifier sa politique de recherche de vulnérabilités, malwares et exploits.

_{(crédit photo © DASPRiD / CC BY 2.0)}