Facebook & Microsoft: Bug Bounty für das Internet

Geld, Bezahlen, Geldbörse Bildquelle: StockMonkeys.com / Flickr
Bug Bounty-Programme haben sich in der letzten Zeit als erfolgreiches Mittel zum Umgang mit Sicherheitslücken erwiesen. Nun soll ein Projekt dieses Prinzip auch auf die grundlegenden Internet-Technologien übertragen.
Hier besteht bisher das Problem, dass diese in der Regel nicht einzelnen Unternehmen zuzuordnen sind, das ein eigenes Bug Bounty-Programm aufsetzen könnte. Statt dessen werden sie oft von Open Source-Teams betreut und weiterentwickelt, die kaum über größere Ressourcen verfügen. Dem soll das Projekt "Hackerone" entgegenwirken.

In diesem werden Microsoft und Facebook Geld zusammenlegen, um Finder von Sicherheitslücken belohnen zu können. Für die Meldung wichtiger Fehler sollen hier zukünftig teils ab 5.000 Dollar aufwärts bezahlt werden. Dies bezieht sich vorerst auf OpenSSL, Python, Ruby, PHP, Django, Rails, Perl, Phabricator, Nginx und den Apache Web Server, die zusammen bereits einen wesentlichen Teil der Grundlagen des Webs bilden.

In der Geschichte des Internets seien immer wieder kritische Sicherheitsprobleme gelöst worden, weil Entwickler uneigennützig tätig wurden. Bei diesen stehe man tief in der Schuld und wolle nun dazu beitragen, dass ihre Leistungen zukünftig besser gewürdigt werden, teilten die Initiatoren von Hackerone mit. Die Verteilung von Belohnungen soll zukünftig von einer Jury durchgeführt werden, die sich aus einer Reihe von Experten zusammensetzt.

Um für eine Belohnung in Frage zu kommen, müssen sich Sicherheitsexperten an verschiedene Prinzipien halten, die einer Responsible Disclosure von Sicherheitslücken entsprechen. Den jeweiligen Entwickler-Teams soll also Zeit gegeben werden, ein Problem zu beheben, bevor Informationen darüber öffentlich gemacht werden. Allerdings setzt Hackerone den Entwicklern dabei auch enge Grenzen von für gewöhnlich 30 Tagen bis zu einem halben Jahr in schwerwiegenden Fällen. Die Fehler müssen zuvor außerdem unbekannt gewesen sein und von unabhängiger Stelle bestätigt werden.

Beteiligen können sich den Angaben zufolge Sicherheitsexperten aus aller Welt. Da Hackerone in den USA angesiedelt ist, gibt es allerdings Ausnahmen für Entwickler aus Staaten, gegen die ein Handelsembargo besteht. Das betrifft aktuell unter anderem Kuba, den Iran, Nordkorea, den Sudan und Syrien. Geld, Bezahlen, Geldbörse Geld, Bezahlen, Geldbörse StockMonkeys.com / Flickr
Mehr zum Thema: Open Source
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 10:50 Uhr AFOUNDRY Dualband Wireless-AC Gigabit Router, 6 Externe Antennen, 3-Prozessoren, Metall-Computer-WiFi Router Verwendet im Heim, Unternehmen, Familienhäuser
AFOUNDRY Dualband Wireless-AC Gigabit Router, 6 Externe Antennen, 3-Prozessoren, Metall-Computer-WiFi Router Verwendet im Heim, Unternehmen, Familienhäuser
Original Amazon-Preis
91,99
Im Preisvergleich ab
?
Blitzangebot-Preis
73,59
Ersparnis zu Amazon 20% oder 18,40
Nur bei Amazon erhältlich

Tipp einsenden