GitHub 的 bug 賞金計劃升級：獎金提高到 3 萬美元以上

多年來，GitHub 通過為研究人員提供相應的獎勵和對應的法律安全條款來改進其 bug，這一規則似乎沒有因為微軟收購而停止，並被爆出今年的獎金將全面提升。

近日，程式碼託管網站 GitHub 在最近一份報告中表示，已根據其 bug 獎金計劃取消了最高支付上限，並進一步降低該計劃對研究人員的法律風險。未來，GitHub 將給予各級別 bug 更高獎勵，更多產品被列入獎勵範圍，對黑客將會出具新的法律保護。

該公司取消了對研究人員發現關鍵 bug 的最大獎金限額。一般來說，研究人員發現關鍵 bug 的獎勵在 20,000 到 30,000 美元之間，但 GitHub 表示，目前在產品中發現嚴重程度較高的漏洞對研究人員來說更加困難，因此將為真正的前沿研究提供更多獎勵。

多年來，bug 賞金分為四種不同的嚴重性類別，即低、中、高和關鍵，其他水平的獎金額度也將上提。比如，高嚴重性 bug 將提供 10,000 至 20,000 美元獎勵，中等嚴重性 bug 獎勵範圍介於 4,000 至 10,000 美元之間，而低嚴重性 bug 則介於 617 至 2,000 美元之間。

目前，GitHub.com 域下託管的所有一手服務都在獎勵範圍內，包括 GitHub Education，GitHub Leaning Lab，GitHub Jobs 和 GitHub Desktop 應用程式。GitHub 的企業雲現在也包含在該計劃中，面向員工的站點 githubapp.co 和 github.net 域也是如此。

最後，GitHub 希望消除其 bug 賞金計劃對研究人員存在的法律風險，GitHub 在其網站政策中添加了一套新的法律安全條款，並提供明確保護措施。

通過新的法律條款，研究人員可以避免違反 GitHub 網站條款，如果他們的行為專門針對 bug 賞金計劃將不會被起訴，可以放心忽視 GitHub 協議對逆向工程的限制。如果不小心超越了 bug 賞金計劃範圍，Github 也會保護研究人員不受同等級別安全條款困擾，並表示不會起訴研究人員。Github 在條款中宣告如下：

為鼓勵研究和負責任地披露安全漏洞，我們不會採取民事或刑事訴訟，也不會因意外或善意違反政策而向執法部門發出通知。

根據計算機欺詐和濫用法案，DMCA 以及其他適用的計算機法律，如 Cal.Penal Code 502（c），我們認為安全研究和漏洞披露活動符合本政策授權行為。我們放棄任何潛在的 DMCA 索賠都是保護 bug-bounty 計劃範圍內應用程式的技術措施。

完整計劃參考 Github 官方頁面：https://bounty.github.com/