Google hat sein im Oktober eingeführtes Patch Rewards Program auf zusätzliche Open-Source-Projekte ausgeweitet. Für „proaktive Sicherheitsverbesserungen“, die über die bloße Behebung eines bekannten Fehlers hinausgehen, erhalten Entwickler im Rahmen des Programms eine Prämie von Google. Diese beträgt zwischen 500 und 3133,70 Dollar.
Zunächst hatte Google das Patch-Prämienprogramm auf eine Anzahl essenzieller Projekte beschränkt. Dazu zählen OpenSSL, zlib, OpenSSH, BIND, ISC DHCP, libjpeg, libpng und giflib. Von Anfang an eingebunden waren mit Chromium und Blink auch die Open-Source-Grundlagen von Google Chrome – sowie sicherheitskritische und häufig genutzte Komponenten des Linux-Kernels einschließlich KVM.
Jetzt können Entwickler auch Verbesserungsvorschläge für alle Open-Source-Komponenten von Android, die verbreiteten Webserver Apache httpd, ligttpd und nginx, die E-Mail-Dienste Sendmail, Postfix, Exim und Dovecot sowie OpenVPN einreichen. Ebenfalls unter das Programm fallen jetzt die Projekte University od Delaware NTPD, GCC, binutils und llvm sowie die Kernbibliotheken Mozilla NSS und libxml2.
Jeder Patch, der eine „belegbare, bedeutende und proaktive Auswirkung“ auf die Sicherheit eines der genannten Projekte hat, kommt laut Google für eine Prämie infrage. Die Bugfixes sollen zunächst direkt an die Projekt-Maintainer geschickt werden – und erst nach ihrer Akzeptanz soll eine Meldung an security-patches@google.com erfolgen.
Die offiziellen Bedingungen führen aus, dass es sich nicht um einen Wettbewerb, sondern um ein experimentelles Prämienprogramm handelt. Inwieweit Belohnungen ausgezahlt werden, liege daher vollständig im Ermessen von Google.
Microsoft verfolgt mit seinem Programm „Blue Hat Bonus for Defense“ einen ähnlichen Ansatz. Es lobt für Abwehrtechniken, die eine Angriffstechnik zur Umgehung aktueller Schutzsysteme kontern, eine Belohnung von bis zu 50.000 Dollar aus. Bei Google fallen die Prämien zwar deutlich geringer aus, dafür gibt es aber auch mehr Gelegenheiten, sich eine zu sichern.
[mit Material von Larry Seltzer, ZDNet.com]
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…
Sie betreffen Windows 10, 11 und Windows Server. In SharePoint Server steckt zudem eine kritische…
Mozilla verteilt insgesamt 16 Patches für Firefox 125 und älter. Zudem entfernt der Browser nun…
