GitHub durcit les règles de son programme de bug bouty

GitHub a annoncé le 15 mai 2026 une refonte de son programme de bug bounty afin de privilégier les signalements “de qualité” et réduire l’afflux de rapports jugés peu exploitables.

Dans un billet, l’entreprise explique que la montée en puissance des outils IA a fortement augmenté le volume de soumissions, notamment des scénarios théoriques sans preuve d’exploitation concrète. GitHub précise désormais qu’un rapport devra inclure une preuve de concept fonctionnelle (PoC), un impact démontré et respecter strictement la liste des cas hors périmètre.

GitHub affirme toutefois accueillir favorablement l’usage de l’IA dans la recherche en sécurité, à condition que les résultats soient validés manuellement.

La plateforme, qui revendique plus de 180 millions de développeurs et plus de 600 millions de dépôts hébergés, rappelle aussi son modèle de “responsabilité partagée” :

les utilisateurs restent responsables des dépôts et contenus auxquels ils choisissent de faire confiance.

Ce cadrage est cohérent pour les scénarios où un développeur clone un dépôt malveillant ou exécute du code non vérifié. Il devient plus discutable au regard des incidents supply chain récents où c’est l’infrastructure même de GitHub qui a servi de vecteur. Dans l’attaque TanStack de mai 2026, le mécanisme de cache de GitHub Actions et le pipeline OIDC de publication npm ont été détournés : aucun développeur n’a “choisi de faire confiance” à du contenu malveillant, c’est le runner légitime qui a été compromis. En mars 2026, la compromission de l’écosystème Trivy avait de même impliqué l’altération de tags GitHub Actions. Le discours de la responsabilité partagée est donc légitime, mais il ne doit pas servir à se dédouaner de la sécurisation de l’infrastructure et des mécanismes d’intégrité.

Enfin, les signalements à faible impact menant malgré tout à une correction ne donneront plus systématiquement lieu à une récompense financière, mais pourront être compensés par des GitHub Swag (goodies).