GitHubはバグ報奨金プログラムを通じてGitHub関連サービスの脆弱性発見に取り組んでいる。このほど、GitHubはバグ報奨金プログラムの対象を広げるとともに金額を引き上げるなどして、より多くのセキュリティ研究者らなどに呼びかけを強めている。

新たな対象範囲や報奨金は「GitHub Security - GitHub Bug Bounty」で確認できる。新たな主な報奨金額は次のとおり。

セキュリティ深刻度 金額
重大(Critical) 2万米ドルから3万米ドル以上
高い(High) 1万米ドルから2万米ドル
中(Midium) 4000米ドルから1万米ドル
低い(Low) 617米ドルから2000米ドル
  • GitHub Security Bug Bounty - Severity Guidelines

    GitHub Security Bug Bounty - Severity Guidelines

脆弱性の深刻度が重大(Critical)なものに関する金額の上限が「$30,000+」と記載されており、脆弱性が与える影響の大きさによっては3万米ドル以上の報奨金が出る可能性がある。

GitHubはオープンソース・ソフトウェアの開発プラットフォームとしてデファクトスタンダードの位置にある。多くのソフトウェア開発者がGitHubを使用しており、開発者同士のコミュニケーション・プラットフォームとしても機能している。GitHubは最近プライベートリポジトリの利用を無償ユーザーに対しても開放しており、市場への影響力を強めている。

バグ報奨金プログラムを通じてプロダクトやサービスの脆弱性の発見を促す取り組みは世界中で行われている。バグ報奨金プログラムを使うことで効率よくバグを発見できることが多く、今後もこうした取り組みは増えると見られる。