گزارش عمل‌کرد گیت‌هاب در برنامه‌ی پاداش در برابر گزارش آسیب‌پذیری

گیت‌هاب می‌گوید که ۹۵۳۰۰ دلار را ظرف دو سال گذشته بر طبق برنامه‌ی پاداش در برابر گزارش خطا پرداخت کرده است.
این پرداخت‌ها در برابر گزارش ۱۰۲ آسیب‌پذیری متوسط تا بسیار حیاتی از سوی ۵۸ پژوهش‌گر صورت گرفته است.
این حفره‌ها از میان ۱۱۷۲ گزارش حفره‌ای که باید توسط تیم‌ امنیتی گیت‌هاب مورد بررسی قرار می‌گرفت جدا شده‌اند، مابقی این‌ها شامل این برنامه‌ی پاداش نمی‌شدند.
همه‌ی این مجموعه‌ی مورد بررسی قرارگرفته از میان ۷۰۵۰ حفره‌ی‌ ارسالی انتخاب شده بودند که نرخ اختلالی را برابر یک از شش نشان می‌داد.
با این حال گیت‌هاب برای این کار بهتر عمل کرده است.
Ben Toews مهندس حوزه‌ی امنیت می‌گوید که این مجموعه‌ی عظیم نگهدارنده‌ی کد، حفره‌هایی که در صدر بدترین ده حفره‌ی نرم‌افزاری OWASP قرار دارند برطرف کرده است.
او می‌گوید: «با پاداش دادن به محققان با استعداد و تیزهوش صنعت امنیت، ما آسیب‌پذیری‌های امنیتی را قبل از این‌که بتوان از آن‌ها به نحو نامناسبی بهره‌برداری کرد، برطرف کرده‌ایم. در اولین سال این برنامه‌ی پاداش، ما در اکثر مواقع گزارش‌هایی در مورد خدمات وب خود دریافت می‌کردیم. در سال ۲۰۱۵ ما تعدادی گزارش در مورد ‌آسیب‌پذیری‌های نرم‌افزارهای رومیزی خود دریافت نمودیم.»
Toews به توصیف برخی از مهم‌ترین حفره‌های گزارش‌شده در برنامه‌ی پاداش گیت‌هاب که از سال ۲۰۱۳ راه‌اندازی شد، پرداخت.
این حفره‌ها شامل یک حفره‌ی مرورگر بود که با استفاده از آن کوکی‌ها می‌توانستند به وب‌گاه‌‌های شخص ثالث ارسال شوند، یک حفره‌ی دیگر که مشکل گیت‌هاب نبود اما بر روی سرویس وب در اینترنت تأثیر می‌گذاشت.
یکی دیگر از حفره‌هایی که توسط یک محقق رمزنگاری گزارش شده بود مربوط به قطع‌ شدن‌های جزیی کلیدهای SSH می‌شد و در موردی دیگر یک حفره‌ی اجرای کد در سرویس‌گیرنده‌های ویندوز و مک گیت‌‌هاب و در فضای ذخیره‌سازی بزرگ‌تر آن شکسته می‌شد.
«این یک شروع عالی است، اما ما امیدواریم که افزایش مشارکت بیشتری در برنامه صورت گیرد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.