Microsoft belohnt jetzt auch gefundene Fehler in Open Source-Code

Quellcode, Code, Programmierung, Programmiersprache
Der Software-Konzern Microsoft befeuert die Durchsicht der als Open Source bereitgestellten Komponenten von .NET Core und ASP.NET jetzt mit einem Bug Bounty-Programm. Bis zum finalen Release sollen Sicherheitsforscher und Entwickler so motiviert werden, in der Beta nach Fehlern zu fahnden.
Belohnungen soll es für Sicherheitslücken geben, die binnen der kommenden drei Monate gefunden und an Microsoft gemeldet werden. Die Frist endet konkret am 20. Januar 2016. Wer in den Beta-Fassungen bis dahin Schwachstellen findet, kann mit Überweisungen zwischen 500 und 15.000 Dollar von Microsoft rechnen - abhängig jeweils von der Schwere des Problems und der Komplexität, mit der es ausgenutzt werden kann. In bestimmten Fällen kann es sogar mehr sein.

Damit Entwickler in den Genuss einer Zahlung kommen, müssen natürlich verschiedene Voraussetzungen erfüllt sein. Geld erhalten den Angaben zufolge jene, die eine Lücke zuerst melden und Informationen über diese auch nicht anderswo puplizieren. Weiterhin muss das Problem auch ordentlich dokumentiert sein, so dass die Programmierer bei Microsoft es nachvollziehen und beheben können.

Suche direkt im Code

Auf der anderen Seite wird es Entwicklern, die sich vielleicht ohnehin auf Software-Sicherheit spezialisiert haben, hier recht einfach gemacht - denn sie haben über das Open Source-Projekt natürlich vollen Zugriff auf den Quellcode. Das ist bei vielen anderen Produkten, für die es ein Bug Bounty-Programm gibt, nicht der Fall.

Ginge es nach den Idealen der Open Source-Community, wäre das Programm eigentlich gar nicht nötig. Denn eigentlich sollen offene Quellcodes gerade gewährleisten, dass diese von vielen Augen betrachtet und Fehler schnell entdeckt werden können. In der Praxis zeigt sich jedoch, dass sich im Grunde nur wenige Entwickler mit dem Code selbst beschäftigen - und das meist auch nur im Rahmen dessen, wie sie eigene Weiterentwicklungen in ein Projekt einbringen wollen.

Eine Prüfung auf mögliche Sicherheitsprobleme ist hingegen nicht gerade trivial und die komplexe Arbeit verspricht wesentlich weniger Anerkennung, als ein tolles neues Feature. Daher ist der Anreiz, den Microsoft nun setzt, durchaus ein sinnvoller Ansatz, um mehr Aufmerksamkeit auf die bestehenden Sourcen zu lenken. Quellcode, Code, Programmierung, Programmiersprache Quellcode, Code, Programmierung, Programmiersprache
Mehr zum Thema: Open Source
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Original Amazon-Preis
23,99
Im Preisvergleich ab
?
Blitzangebot-Preis
19,98
Ersparnis zu Amazon 17% oder 4,01
Nur bei Amazon erhältlich

Tipp einsenden