Google erweitert Bug-Bounty Programm – Ab sofort Geld für Bug-Fixing an Open Source Software

google-erweitert-bug-bounty-programm-ab-sofort-geld-fur-bug-fixing-an-open-source-softwareWenige Nutzer, die sich nicht mit der Entwicklung von Software auskennen, dürften das Bug-Bounty Programm von Google kennen: vor geraumer Zeit hat Google einen Service ins Leben gerufen, um die Sicherheit der eigenen Software drastisch zu verbessern und dafür dennoch nicht in Infrastruktur und Personal investieren zu müssen. Man bietet Entwicklern Geld an, wenn sie aufgrund von Schwachstellen Tests oder durch Zufall Sicherheitslücken und Lösungsvorschläge an der eigenen Software finden, wobei die Summe von der Komplexität und der Schwere der Fehler abhängig ist. Dass man es so macht, ist in der Software Branche üblich; viele Firmen zahlen Geld dafür, dass man Schwachstellen aufdeckt und meldet, ehe man diese an zwielichtige Quellen verkauft, welche durch sie Angriffe verüben. Neu an dem Bug-Bounty Programm ist, dass Google es in Zukunft dramatisch erweitern wird, sodass es nicht mehr nur für die eigenen Applikationen gilt, sondern auch für viele Open Source Dienste.

Diese Ziele sind nicht selbstlos, denn es handelt sich um Projekte, die zwar nicht zu Google gehören, auf denen Dienste von Google jedoch direkt oder indirekt aufbauen, weswegen eindeutig wirtschaftliches Kalkül hinter den Bemühungen steckt. Wenn jedoch am Ende ein Mehrwert für den Nutzer aus dem Projekt resultiert, sollte man es dennoch nicht negativ sehen, sondern sich darüber freuen, denn diese neue Idee ist bislang die einzige ihrer Art.

Finanzierung nur für ausgewählte Projekte

Anders als zuvor sollen nicht mehr nur Gelder für das Auffinden und das Fixen von Fehlern fließen, sondern dann, wenn Patches geschrieben werden, die “ einen erheblichen und proaktiven Einfluss auf die Sicherheit der von Google benannten Projekte haben“. Im Kern geht es um die Korrektur von fehlerhaftem, veralteten oder unsicheren Quellcode. Die Arbeiten an den folgenden Projekten werden derzeit von Google honoriert, wenn Bug-Bounty gut läuft, ist es jedoch wahrscheinlich, dass man die Auswahl erweitert:  OpenSSH, OpenSSL, BIND, ISC, DHCP, ZLib,  Parsern für PNG, JPEG, GIF, Chromium in Kombination mit der Webengine Blink und besonders sensiblenTeilen des Linux-Kernels wie KVM. Besonderen Nutzen dürfte Google aus den Weiterentwicklungen von Chromium, Blink (beide im Browser Chrome vorhanden), sowie Linux (Grundlage von Android).

In Zukunft sollen Apach,  Nginx, SMTP-Dienste, OpenVPN, GCC, LLVM, Binutils und weitere Dienste unterstützt werden, wobei diese natürlich einen Nutzen für Google haben und in den Grundgedanken des Bug-Bounty Programms passen müssen. Vornehmlich geht es noch um Webdienste, es wäre aber auch möglich, dass es sich in Zukunft in ganz andere Richtungen weiterentwickelt, als es derzeit den Anschein hat. Nach welchen Kriterien eine Aufnahme genau erfolgt ist natürlich nicht bekannt.

500 bis 3.133,70 US-Dollar verdienen

Laut Google sollen Summen zwischen 500 und 3.133,70 US-Dollar ausgeschenkt werden, je nachdem, wie schwer der Fehler war und wie anspruchsvoll die Programmierung des Patches gewesen ist. Eine Zahlung kann allerdings erst dann erfolgen, wenn der Bug vollständig behoben wurde, die Lösung für das Problem in die Software aufgenommen worden, eine Beschreibung bei Google eingegangen und bearbeitet, sowie bewertet worden ist. Somit dürfte es nicht allzu leicht sein, an dem Bug-Bounty Projekt teilzunehmen, es stellt jedoch auch für Entwickler eines Projektes einen Anreiz dar, weil diese nicht ausgeschlossen sind.

Ob man nun positiv oder negativ der Tatsache gegenüber steht, dass Google damit seinen Griff um das Internet noch ein wenig enger schließt und dass es nicht mehr mit dem eigentlichen Open Source Ideal übereinstimmt, wenn man Geld für die Entwicklung von Patches annimmt, es ist im Kern doch ein guter Gedanke, der vor allem den Endanwendern einen Nutzen liefert.

Tags: , , ,

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*

*