8周年を迎えたGitHubセキュリティバグ報奨金プログラム

Image of Jill Moné-Corallo

2021年はこのプログラムにとって記録的な年でした。この1年間に報奨金コミュニティと協力して達成した成果をご紹介します。

2021年、GitHubのセキュリティバグ報奨金プログラムが、再びこれまでの記録を塗り替えました。先日、研究者への支払い総額が2,000,000米ドルを超えました。2019年に1,000,000米ドルを超えてから、まだ2年しか経っていません。昨年1年間では、プログラム全体で合計800,000米ドル以上の報奨金が支払われました。セキュリティバグ報奨金プログラムの成功を支えた基盤は、コミュニティ全体の有能なセキュリティ研究者とのパートナーシップであると確信しています。昨年1年間およびプログラムの開始以来、報奨金プログラムにご参加いただいたすべての方に心より感謝申し上げます。

セキュリティは、GitHubが掲げるミッションの中核を成すものです。昨年、GitHubはバグ報奨金プログラムの実施と発展を専門とする新しい社内チームの発足を発表しました。コミュニティの関与、運用、プログラムの発展に重点的に取り組むこのチームを当社のProduct Security Engineering部門に迎え入れることは、報奨金プログラムの継続的な発展と成熟にとって欠かせないものでした。このブログ記事では、昨年1年間に報奨金コミュニティと一緒に成し遂げた素晴らしい成果をいくつかご紹介します。

また、2022年後半の展望と、今年6月に開催予定のHackerOneとのライブハッキングイベントについてもお伝えします。

2021年のハイライト

専門のバグ報奨金チームが発足してから10か月という短期間で、早くも2021年の記録を上回りました。2021年2月から2022年2月までの主要なハイライトは以下のとおりです。

  • 235個の脆弱性に対する報奨金として、803,769米ドルが支払われました。2016年以降にHackerOneを通じて支払った報奨金の総額は2,355,773米ドルとなりました。
  • 公開プログラムと非公開プログラム全体で、1,363件の報告がありました。2022年1月が最も多く、報告数は149件でした。
  • 2021年11月には、1件の報奨金として史上最高額の50,000米ドルが支払われました。
  • 研究者からの報奨金の寄付額が64,000米ドルを超え、合計で128,234米ドルがさまざまな慈善事業に寄付されました(寄付プログラムの詳細については、こちらをご覧ください)。
  • 回答時間が2020年から1時間改善し、最初の回答までが平均12時間となりました。
  • プログラムへのコントリビュータが21%増加し、初回レポートが18%増加しました。

2021年にGitHubで話題となったバグ

GitHubの報奨金プログラムに寄せられる報告に、私たちはいつも感銘を受けています。2021年に寄せられた報告の中から、特に興味深かったものについて詳しくご紹介します。

パストラバーサル

2021年7月2日、GitHub Enterprise Server (GHES)にパストラバーサルの脆弱性があるという報告が届きました。

報告されたGHESのパストラバーサルの脆弱性は、GitHub Pagesサイトの構築時に発生しました。GitHub Pagesを使用すると、ユーザーは一連の構成オプションによってサイトをパーソナライズできます。こうしたユーザー制御の構成オプションに対する制限が不十分であったため、攻撃者はパストラバーサルを利用してGHESインスタンス上のファイルを読み取ることができました。攻撃者がこの脆弱性を悪用するためには、GHESインスタンス上にGitHub Pagesサイトを作成および構築するための権限が必要でした。

私たちはこの問題を修正し、CVE-2021-22867およびCVE-2021-22868を割り当てました。CVE-2021-22867の修正プログラムには、異なるペイロードを使用すれば引き続きパストラバーサルが可能であるという回避策が見つかったため、CVE-2021-22868が発行されました。

この脆弱性は、3.1.8より前の全バージョンのGitHub Enterprise Serverに影響を及ぼし、3.1.8、3.0.16、および2.22.22で修正されました。

研究者のyvvdwfは、非常に有意義な発見を最初に報告しただけでなく、修正プログラムが利用可能になるとそのテストを支援してくれました。このテストとバリアント分析により、初期修正プログラムの回避策を見つけることもでき、最終的に、この発見によって製品のセキュリティをさらに高めることができました。こうした継続的な取り組みを評価し、私たちはテスト支援に関してyvvdwfにボーナスを支給し、追加の発見に関しては別の報奨金を提供しました。

研究者スポットライト

2021年10月、GitHubはプログラムに参加している研究者数名に焦点を当てて、サイバーセキュリティ啓発月間を実施しました。このようにスポットライトを当てることにより、私たちのプログラムに参加している研究者について理解を深めることができました。また、それだけでなく、彼らがGitHubやその他のバグ報奨金プログラムにもたらすユニークな才能や専門知識を幅広く紹介できる、絶好の機会ともなりました。今年の研究者のハイライトを確認するには、以下のサイトをご覧ください。

今後の展望

GitHubの製品およびサービスの拡大と発展に合わせて、今後も報奨金の対象範囲に新たな重点分野を追加していきます。たとえば、今年は、非公開の報奨金プログラムに製品を取り入れた後、対象範囲にnpmを追加しました。このプログラムは成功を収め、3つの重大な脆弱性の発見につながりました。また、総合的なセキュリティ投資の一環として、今後も重点分野を絞った非公開の報奨金プログラムへの投資を続けていきます。

さらに、プログラムに参加している研究者を奨励するための新たな方法を検討しています。金銭的な報酬に加えて、支払い基準を満たしていないレポートを評価するために、金銭以外の報酬を導入することにも注力しています。もちろん、研究者の尽力に報いる方法はたくさんあります。金銭や表彰など、さまざまな研究者のモチベーションに合わせて異なる報酬を用意することで、引き続き研究者とのより良い関係を築き、彼らの取り組みを評価することができるでしょう。

最後にもう1つ、お知らせがあります。2022年6月に、GitHubはHackerOneとのライブハッキングイベントを開催します。私たちは、コミュニティの人々と共に時間を過ごすことに非常に大きな価値を見いだしており、GitHubに焦点を当てた最初のイベントを開催できるのは嬉しい限りです。ここ数か月間はHackerOneと連携して、会場に来られる参加者とリモート参加者のどちらにも喜んでもらえるようなイベントを計画してきました。イベントへのアクセスは制限されていますが、ぜひhttps://www.hackerone.com/live-hacking-eventsにアクセスして、今後のライブハッキングイベントへの参加方法をご確認ください。

GitHubのバグ報奨金プログラムは9年目になりました。今後もプログラムを改善し、研究者やエンジニアに最高のエクスペリエンスを提供できるようにしていく予定です。2023年は、回答時間の改善、ハッカーコミュニティへの参加、継続的なレビュー、研究者を対象とした魅力的な報酬にご期待ください。

ありがとうございました!

GitHubのチームにとって本当に素晴らしい1年でした!来年のプログラムでも魅力的な計画を複数ご用意しています。参加者の皆さんと交流し、皆さんからの報告を確認することを楽しみにしています。

研究者の皆さん、GitHubのバグ報奨金プログラムにレポートをお送りください。皆さんからのレポートは、GitHubの製品、ユーザー、コミュニティの安全とセキュリティを確保するうえで非常に貴重であり、大きな影響力があります。プログラムの対象範囲、ルール、報酬の詳細については、GitHubのウェブサイトをご覧ください

プログラムにご参加いただいたすべてのハッカーの皆さんにも感謝申し上げます。ハッピーハッキング!