Le repository des repositories célèbre le cinquième anniversaire de son programme de chasse aux bugs. Après avoir versé un total de 250 000 dollars en 2018, GitHub augmente cette année ses primes et ajoute une protection juridique à l’endroit des chercheurs.
Voilà cinq ans que GitHub a lancé son programme de bug bounty. L’an dernier, le repository a versé 165 000 dollars aux chercheurs ayant découvert des vulnérabilités dans ce cadre et 75 000 supplémentaires lors de l’évènement H1-702 organisé par HackerOne en août 2018. « Au cours des cinq dernières années, nous avons été continuellement impressionnés par le travail acharné et l'ingéniosité de nos chercheurs » explique GitHub dans un communiqué.
Des chercheurs qu’il faut protéger en plus de récompenser. GitHub annonce donc avoir étendu son Legal Safe Harbor. Ainsi, la plateforme s’engage à ne pas « entamer de poursuites civiles ou pénales, ni à soutenir toute poursuite ou action au civil de tiers » dans le cas où, dans le cadre d’une chasse au bug, un chercheur un peu trop enthousiaste mais de bonne foi enfreindrait la politique de sécurité de l’entreprise.
Safe Harbor
Si elle ne peut empêcher les tiers de poursuivre en justice un chercheur qui aurait par exemple provoqué une violation de données, la société rachetée par Microsoft promet toutefois de protéger au mieux ses contributeurs, notamment en ne partageant avec des tiers « des informations non identifiantes avec des tiers, et seulement après vous en avoir informé et avoir obtenu l’engagement écrit de ce tiers de ne pas intenter de poursuites contre vous ».
En outre, sur le volet des récompenses, GitHub fait monter les primes. Découvrir une faille critique pourra rapporter jusqu’à 30 000 dollars, voire plus dans des cas exceptionnels puisque la plateforme a décidé de supprimer le montant maximal des primes. Une vulnérabilité peu sévère découverte pourra quant à elle rapporter jusqu’à 2000 dollars. GitHub étend également le champ de son programme, qui englobe désormais Enterprise Cloud, GitHub Education, GitHub Learning Lab, GitHub Jobs et GitHub Desktop, « pour accroître encore la sécurité de nos clients entreprises ».