Google hat sein im Oktober eingeführtes Patch Rewards Program auf zusätzliche Open-Source-Projekte ausgeweitet. Für „proaktive Sicherheitsverbesserungen“, die über die bloße Behebung eines bekannten Fehlers hinausgehen, erhalten Entwickler im Rahmen des Programms eine Prämie von Google. Diese beträgt zwischen 500 und 3133,70 Dollar.
Zunächst hatte Google das Patch-Prämienprogramm auf eine Anzahl essenzieller Projekte beschränkt. Dazu zählen OpenSSL, zlib, OpenSSH, BIND, ISC DHCP, libjpeg, libpng und giflib. Von Anfang an eingebunden waren mit Chromium und Blink auch die Open-Source-Grundlagen von Google Chrome – sowie sicherheitskritische und häufig genutzte Komponenten des Linux-Kernels einschließlich KVM.
Jetzt können Entwickler auch Verbesserungsvorschläge für alle Open-Source-Komponenten von Android, die verbreiteten Webserver Apache httpd, ligttpd und nginx, die E-Mail-Dienste Sendmail, Postfix, Exim und Dovecot sowie OpenVPN einreichen. Ebenfalls unter das Programm fallen jetzt die Projekte University od Delaware NTPD, GCC, binutils und llvm sowie die Kernbibliotheken Mozilla NSS und libxml2.
Jeder Patch, der eine „belegbare, bedeutende und proaktive Auswirkung“ auf die Sicherheit eines der genannten Projekte hat, kommt laut Google für eine Prämie infrage. Die Bugfixes sollen zunächst direkt an die Projekt-Maintainer geschickt werden – und erst nach ihrer Akzeptanz soll eine Meldung an security-patches@google.com erfolgen.
Die offiziellen Bedingungen führen aus, dass es sich nicht um einen Wettbewerb, sondern um ein experimentelles Prämienprogramm handelt. Inwieweit Belohnungen ausgezahlt werden, liege daher vollständig im Ermessen von Google.
Microsoft verfolgt mit seinem Programm „Blue Hat Bonus for Defense“ einen ähnlichen Ansatz. Es lobt für Abwehrtechniken, die eine Angriffstechnik zur Umgehung aktueller Schutzsysteme kontern, eine Belohnung von bis zu 50.000 Dollar aus. Bei Google fallen die Prämien zwar deutlich geringer aus, dafür gibt es aber auch mehr Gelegenheiten, sich eine zu sichern.
[mit Material von Larry Seltzer, ZDNet.com]
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
