脆弱性報告で GitHub から $4,000 貰った話

脆弱性報告で GitHub から $4,000 貰った話
ARANK

はじめにこんにちは、ダイニーの ogino です。この記事では GitHub の bug bounty で脆弱性を報告し、実際に報奨金を受け取った時の体験を共有します。私は特にセキュリティの専門家ではなく、偶然に問題を見つけて初めて報告をしました。読者の方が同じようなチャンスに遭遇した時スムーズに行くように、海外からお金を受け取る上での意外なつまずきポイントや、実際に貰える金額などについて紹介します。どんな問題を見つけたのか!GitHub の脆弱性報告プログラムのルールで、脆弱性について自由に write-up を書いてよいことになっています。You are free to publish write-ups about your vulnerability, and GitHub will not limit what you write. We may pay out your reward before the vulnerability is patched, so we may ask that you delay publishing to keep other GitHub users safe.以下に記載する問題は、既に修正完了から時間が経っています。今回見つけたのは、GitHub Copilot の VSCode 拡張機能に関する問題です。この拡張機能のソースコードは本来公開されていないはずですが、TypeScript のソースマップによって元のコードが露出していました。そも…

zenn.dev 4 days ago

Open page

https://zenn.dev/dinii/articles/0bf9e893c7879c