Google hat sein im Oktober eingeführtes Patch Rewards Program auf zusätzliche Open-Source-Projekte ausgeweitet. Für „proaktive Sicherheitsverbesserungen“, die über die bloße Behebung eines bekannten Fehlers hinausgehen, erhalten Entwickler im Rahmen des Programms eine Prämie von Google. Diese beträgt zwischen 500 und 3133,70 Dollar.
Zunächst hatte Google das Patch-Prämienprogramm auf eine Anzahl essenzieller Projekte beschränkt. Dazu zählen OpenSSL, zlib, OpenSSH, BIND, ISC DHCP, libjpeg, libpng und giflib. Von Anfang an eingebunden waren mit Chromium und Blink auch die Open-Source-Grundlagen von Google Chrome – sowie sicherheitskritische und häufig genutzte Komponenten des Linux-Kernels einschließlich KVM.
Jetzt können Entwickler auch Verbesserungsvorschläge für alle Open-Source-Komponenten von Android, die verbreiteten Webserver Apache httpd, ligttpd und nginx, die E-Mail-Dienste Sendmail, Postfix, Exim und Dovecot sowie OpenVPN einreichen. Ebenfalls unter das Programm fallen jetzt die Projekte University od Delaware NTPD, GCC, binutils und llvm sowie die Kernbibliotheken Mozilla NSS und libxml2.
Jeder Patch, der eine „belegbare, bedeutende und proaktive Auswirkung“ auf die Sicherheit eines der genannten Projekte hat, kommt laut Google für eine Prämie infrage. Die Bugfixes sollen zunächst direkt an die Projekt-Maintainer geschickt werden – und erst nach ihrer Akzeptanz soll eine Meldung an security-patches@google.com erfolgen.
Die offiziellen Bedingungen führen aus, dass es sich nicht um einen Wettbewerb, sondern um ein experimentelles Prämienprogramm handelt. Inwieweit Belohnungen ausgezahlt werden, liege daher vollständig im Ermessen von Google.
Microsoft verfolgt mit seinem Programm „Blue Hat Bonus for Defense“ einen ähnlichen Ansatz. Es lobt für Abwehrtechniken, die eine Angriffstechnik zur Umgehung aktueller Schutzsysteme kontern, eine Belohnung von bis zu 50.000 Dollar aus. Bei Google fallen die Prämien zwar deutlich geringer aus, dafür gibt es aber auch mehr Gelegenheiten, sich eine zu sichern.
[mit Material von Larry Seltzer, ZDNet.com]
Neueste Kommentare
Noch keine Kommentare zu Google erweitert Patch-Prämienprogramm
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.