據(jù)外媒報道，去年，GitHub 向安全研究人員支付了總計(jì) 166495 美元的獎勵，針對 GitHub 這個為期四年的“漏洞賞金”項(xiàng)目，安全研究人員會上報自己發(fā)現(xiàn)的系統(tǒng)問題和漏洞。2016 年，GitHub 一共支付了81.7萬美元，而去年的支出總額顯然已經(jīng)翻了一倍多，幾乎相當(dāng)于前三年的總支出（17.7萬美元）。在 2014 和 2015 兩年時間里，他們一共支付了95.3萬美元的獎金。

2017 年，GitHub 一共收到了 840 份漏洞報告意見書，但是最終解決問題并獲得獎金的比例只有15%（約121份）。2016年，GitHub 共收到了 795 份漏洞報告意見書，最終獲得獎勵的只有 73 份，而其中只有 48 份有效報告最終被羅列在了漏洞賞金項(xiàng)目的主頁上。

有效報告的數(shù)量上升推動了總支出的增加，也導(dǎo)致了 GitHub 在去年十月重新評估其支付結(jié)構(gòu)。結(jié)果就是，獎金增加了一倍，其中最低獎金為 555 美元，最高獎金高達(dá) 20000 美元。

GitHub 的 Greg Ose 指出，隨著參與的項(xiàng)目、計(jì)劃和研究人員規(guī)模不斷增加，去年是迄今為止支付賞金最多的一年。不僅如此，他們還把 GitHub Enterprise 引入到漏洞賞金項(xiàng)目之中，讓研究人員能夠在 GitHub.com 平臺上一些未公開的、或是特定于某個企業(yè)部署的領(lǐng)域里找到漏洞。Ose說道：

“去年年初，很多漏洞報告涉及到了我們的企業(yè)認(rèn)證方法，這也促使我們不得不在內(nèi)部關(guān)注這個問題，而且我們也在研究如何讓研究人員也關(guān)注這個功能。”

此外，Ose還表示，GitHub 已經(jīng)發(fā)布了首個研究人員捐贈，也是他們長期以來關(guān)注的一項(xiàng)舉措。這項(xiàng)工作會為挖掘應(yīng)用程序特定功能或領(lǐng)域的研究人員支付固定金額。當(dāng)然，其他任何發(fā)現(xiàn)漏洞的人也能夠通過漏洞賞金項(xiàng)目獲得獎勵。

去年，GitHub 還推出了私人漏洞補(bǔ)丁服務(wù)，讓用戶能夠限制生產(chǎn)漏洞的影響范圍。不僅如此，他們還進(jìn)行了內(nèi)部改進(jìn)，以更有效進(jìn)行漏洞分類和修復(fù)提交，并計(jì)劃在今年進(jìn)一步完善流程。

現(xiàn)在，GitHub 希望進(jìn)一步擴(kuò)大 2017 年所取得成績，推出更多私人獎勵和研究補(bǔ)助金，以便在代碼公開發(fā)布之前及之后引起大家的關(guān)注。該公司還計(jì)劃在今年晚些時候，推出額外的獎勵計(jì)劃。Ose總結(jié)道：

“鑒于漏洞賞金項(xiàng)目取得了成功，我們現(xiàn)在正考慮如何擴(kuò)大其范圍，為我們的生產(chǎn)服務(wù)提供更多幫助，同時保護(hù)整個GitHub生態(tài)系統(tǒng)。我們很期待下一步工作，并且會在今年對提交的漏洞內(nèi)容進(jìn)行分類和修正。”