GitHub: veja como participar do programa caça-bugs com prêmios de até US$ 30 mil

Em tempos em que as vulnerabilidades de softwares e plataformas são rapidamente exploradas por cibercriminosos, encontrar brechas, principalmente as chamadas de dia zero (aquelas que já vieram “de fábrica”) se tornou ainda mais importante para as empresas. O papel de “caçador de bugs” sendo cada vez mais procurado e bem-remunerado a cada ano. E a plataforma para desenvolvimento GitHub, que também está de olho nesse segmento, explica como os interessados podem participar de seu Security Bug Bounty Program.

• GitHub | As 10 linguagens favoritas dos desenvolvedores na plataforma
• GitHub libera IA que ajuda a programar para todos os usuários

O programa de caça-bugs do GitHub foi criado em 2014 e está em atividade desde 2016, e, desde então, já distribuiu US$ 2.355.773 (quase R$ 12,5 milhões na conversão direta) em prêmios. No ano passado, a companhia recebeu 1.363 relatórios de vulnerabilidades, com teto de recompensas de US$ 30 mil (R$ 160 mil) — o montante a ser pago chegou a US$ 50 mil (R$ 265 mil) em um caso extraordinário. O número de contribuintes cresceu 21% em relação a 2020, com 18% estavam reportando bugs pela primeira vez.

O GitHub é uma plataforma que conta com uma enorme quantidade de colaboradores construindo softwares em código aberto. Por isso, a segurança é essencial, já que muita coisa pode sair dali já com problemas de segurança e privacidade, antes mesmo do lançamento oficial. Para ter a ideia de como funciona a descoberta e o relato de um bug, a companhia cita o que aconteceu com uma das pesquisadoras que reportou uma brecha envolvendo o GitHub Enterprise Server (GHES).

Em 2021, uma pesquisadora com o username “yvvdwf” descobriu uma vulnerabilidade que permitia ao atacante abrir um caminho transversal para ler arquivos no GHES. A colaboradora não apenas reportou a descoberta inicial como também ajudou a testar a correção. Outros testes e análises das variantes do bug permitiram ao GitHub assegurar ainda mais segurança ao produto. Assim, essa caça-bugs recebeu um bônus por ajudar a avaliar o ajuste realizado e chegou ao prêmio de US$ 50 mil.

Como participar do programa caça-bugs do GitHub

Criatividade de conhecimento técnico estão nos pilares do que o GitHub procura em seu Security Bug Bounty Program. Segundo, os critérios, pesquisadores de todos os níveis podem enviar relatos de vulnerabilidades por meio da página oficial para cadastro de bugs, a HackerOne.

As submissões devem incluir detalhes por escrito que permitam a reprodução da vulnerabilidade. Em seguida, o time de segurança do GitHub avaliará o relatório e o validará com base em diretrizes de grau de severidade: ameaça baixa, média, alta ou crítica. Os pagamentos variam com base no grau da brecha, e vão de US$ 617 (R$ 3.270) a US$ 30K, com pagamentos mais altos concedidos a relatórios excepcionais.

O GitHub vem aperfeiçoando seu programa de recompensas e promete outros tipos de incentivos e mais recursos para o uso de sua plataforma de caça-bugs. Para saber mais informações, entre no site deles e confira.