Facebook & Microsoft:
Bug Bounty für das Internet

Bug Bounty-Programme haben sich in der letzten Zeit als erfolgreiches Mittel zum Umgang mit Sicherheitslücken erwiesen. Nun soll ein Projekt dieses Prinzip auch auf die grundlegenden Internet-Technologien übertragen.
Hier besteht bisher das Problem, dass diese in der Regel nicht einzelnen Unternehmen zuzuordnen sind, das ein eigenes Bug Bounty-Programm aufsetzen könnte. Statt dessen werden sie oft von Open Source-Teams betreut und weiterentwickelt, die kaum über größere Ressourcen verfügen. Dem soll das Projekt "Hackerone" entgegenwirken.

In diesem werden Microsoft und Facebook Geld zusammenlegen, um Finder von Sicherheitslücken belohnen zu können. Für die Meldung wichtiger Fehler sollen hier zukünftig teils ab 5.000 Dollar aufwärts bezahlt werden. Dies bezieht sich vorerst auf OpenSSL, Python, Ruby, PHP, Django, Rails, Perl, Phabricator, Nginx und den Apache Web Server, die zusammen bereits einen wesentlichen Teil der Grundlagen des Webs bilden.

In der Geschichte des Internets seien immer wieder kritische Sicherheitsprobleme gelöst worden, weil Entwickler uneigennützig tätig wurden. Bei diesen stehe man tief in der Schuld und wolle nun dazu beitragen, dass ihre Leistungen zukünftig besser gewürdigt werden, teilten die Initiatoren von Hackerone mit. Die Verteilung von Belohnungen soll zukünftig von einer Jury durchgeführt werden, die sich aus einer Reihe von Experten zusammensetzt.

Um für eine Belohnung in Frage zu kommen, müssen sich Sicherheitsexperten an verschiedene Prinzipien halten, die einer Responsible Disclosure von Sicherheitslücken entsprechen. Den jeweiligen Entwickler-Teams soll also Zeit gegeben werden, ein Problem zu beheben, bevor Informationen darüber öffentlich gemacht werden. Allerdings setzt Hackerone den Entwicklern dabei auch enge Grenzen von für gewöhnlich 30 Tagen bis zu einem halben Jahr in schwerwiegenden Fällen. Die Fehler müssen zuvor außerdem unbekannt gewesen sein und von unabhängiger Stelle bestätigt werden.

Beteiligen können sich den Angaben zufolge Sicherheitsexperten aus aller Welt. Da Hackerone in den USA angesiedelt ist, gibt es allerdings Ausnahmen für Entwickler aus Staaten, gegen die ein Handelsembargo besteht. Das betrifft aktuell unter anderem Kuba, den Iran, Nordkorea, den Sudan und Syrien.


Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!