Este año, el programa de recompensas por errores de seguridad de GitHub celebra su décimo aniversario. Desde su lanzamiento en 2014, ha sido una plataforma clave para involucrar a hackers y investigadores de seguridad en la identificación y reporte de vulnerabilidades mediante un proceso de divulgación responsable. En la última década, GitHub ha experimentado un crecimiento significativo, pero los objetivos del programa han permanecido constantes: mejorar la seguridad de sus servicios y recompensar los esfuerzos de los investigadores.
En 2014, el programa se lanzó con un enfoque en un conjunto limitado de productos y servicios. Dos años más tarde, en 2016, el programa se trasladó a la plataforma HackerOne para gestionar las recompensas de manera más eficiente. En 2017, GitHub aumentó los pagos y participó en eventos como Hack the World, duplicando los puntos de reputación en HackerOne para quienes encontraban errores en GitHub.
Un año después, en 2018, GitHub anunció que la investigación estaría protegida por la política de puerto seguro legal del programa, eliminando posibles barreras legales para los investigadores. En 2019, se registró un aumento del 40% en las presentaciones, y el programa incluyó más productos como GitHub Actions y GitHub Mobile.
En 2020, GitHub se ubicó entre los diez mejores programas de recompensas en HackerOne, gracias a la cantidad acumulada de recompensas otorgadas y otros factores. En 2021, se igualaron donaciones de recompensas por más de $64,000, donando un total de más de $100,000 a organizaciones benéficas. En 2022, se lanzó una tienda de productos de GitHub Bug Bounty, permitiendo a los hackers ganar camisetas, botellas de agua y otros artículos además de los pagos monetarios.
En 2023, GitHub pagó su recompensa individual más alta hasta la fecha, $75,000, y superó los $4,000,000 en recompensas totales. A lo largo del año, se centraron en aumentar la transparencia en sus comunicaciones y recompensas, expandiendo sus programas públicos y privados, y mejorando la participación de la comunidad.
En términos de crecimiento, GitHub organizó varios compromisos privados con miembros VIP del programa, incluyendo GitHub Copilot Chat y otros. Además, el programa público continuó creciendo, con la incorporación de nuevas ofertas y funcionalidades como GitHub Copilot.
La presencia en la comunidad fue otro enfoque clave en 2023, con la asistencia a conferencias en Estados Unidos, Canadá y Argentina, y la presentación de temas relevantes. Además, GitHub co-organizó una nueva conferencia llamada Glass Firewall, diseñada para proporcionar un espacio seguro para las mujeres interesadas en la seguridad.
Mirando hacia el futuro, GitHub planea mejorar sus procesos de pago al validar hallazgos, trabajar hacia la próxima fase de divulgaciones públicas, y continuar ofreciendo consistentemente recompensas privadas y oportunidades exclusivas de capacitación para su comunidad VIP.
Cada contribución al programa de recompensas es una oportunidad para hacer que GitHub sea más seguro, y la colaboración continua de la comunidad de hackers e investigadores de seguridad es fundamental para lograr este objetivo. Quienes estén interesados en participar pueden visitar el sitio web del programa para obtener detalles sobre el alcance, las reglas y las recompensas disponibles.
vía: GitHub Security
