GitHub dijo que ha pagado más de 95 300 dólares durante dos años debido a su programa de recompensas de errores. Los pagos cubren 102 vulnerabilidades consideradas medias a muy graves reportadas por 58 investigadores.

Estas gemas resultaron de aproximadamente 1 172 reportes de errores que llevaron a realizar inspecciones de seguridad de parte del equio de GitHub, el resto no calificaron para el pago.

El total de los casos inspeccionados se obtuvieron de 7 050 reportes de errores, que equivalen a una raza de ruido a razón de 1:6.

Sin embargo, GitHub ve lo mejor de esto. El ingeniero de seguridad Ben Toewsn dijo que en el código se han arreglado errores que se encuentran entre los 10 peores errores de aplicaciones web según OWASP.

"Al recompensar a los investigadores talentosos y dedicados de la industria de la seguridad, también descubrimos y corregimos las vulnerabilidades de seguridad antes de que puedan ser explotadas", dijo Toews.

"En el primer año del programa de recompensas, vimos informes, sobre todo, acerca de nuestros servicios web". "En 2015 recibimos una serie de reportes de vulnerabilidades en nuestras aplicaciones de escritorio."

Toews detalla algunos de los errores importantes comunicados en su programa de recompensas de errores de Github, lanzado por primera vez en 2013.

Entre ellos se incluye un error del navegador que permitía que las cookies fueran enviadas a sitios de terceros, no era responsabilidad directa de de Github, pero impactó al servicio web junto con una gran parte de internet.

Otra fue reportada por un estudioso de criptografía y se relacionaba con la factorización trivial de claves SSH, mientras que un error de ejecución de código colapsaba a los clientes de GitHub de Mac y Windows junto su almacenamiento de archivos.

"Eso es un gran comienzo, pero esperamos aumentar aún más la participación en el programa. Así que prende tu proxy favorito y empieza a jugar en GitHub.com".