Google hat sein im Oktober eingeführtes Patch Rewards Program auf zusätzliche Open-Source-Projekte ausgeweitet. Für „proaktive Sicherheitsverbesserungen“, die über die bloße Behebung eines bekannten Fehlers hinausgehen, erhalten Entwickler im Rahmen des Programms eine Prämie von Google. Diese beträgt zwischen 500 und 3133,70 Dollar.
Zunächst hatte Google das Patch-Prämienprogramm auf eine Anzahl essenzieller Projekte beschränkt. Dazu zählen OpenSSL, zlib, OpenSSH, BIND, ISC DHCP, libjpeg, libpng und giflib. Von Anfang an eingebunden waren mit Chromium und Blink auch die Open-Source-Grundlagen von Google Chrome – sowie sicherheitskritische und häufig genutzte Komponenten des Linux-Kernels einschließlich KVM.
Jetzt können Entwickler auch Verbesserungsvorschläge für alle Open-Source-Komponenten von Android, die verbreiteten Webserver Apache httpd, ligttpd und nginx, die E-Mail-Dienste Sendmail, Postfix, Exim und Dovecot sowie OpenVPN einreichen. Ebenfalls unter das Programm fallen jetzt die Projekte University od Delaware NTPD, GCC, binutils und llvm sowie die Kernbibliotheken Mozilla NSS und libxml2.
Jeder Patch, der eine „belegbare, bedeutende und proaktive Auswirkung“ auf die Sicherheit eines der genannten Projekte hat, kommt laut Google für eine Prämie infrage. Die Bugfixes sollen zunächst direkt an die Projekt-Maintainer geschickt werden – und erst nach ihrer Akzeptanz soll eine Meldung an security-patches@google.com erfolgen.
Die offiziellen Bedingungen führen aus, dass es sich nicht um einen Wettbewerb, sondern um ein experimentelles Prämienprogramm handelt. Inwieweit Belohnungen ausgezahlt werden, liege daher vollständig im Ermessen von Google.
Microsoft verfolgt mit seinem Programm „Blue Hat Bonus for Defense“ einen ähnlichen Ansatz. Es lobt für Abwehrtechniken, die eine Angriffstechnik zur Umgehung aktueller Schutzsysteme kontern, eine Belohnung von bis zu 50.000 Dollar aus. Bei Google fallen die Prämien zwar deutlich geringer aus, dafür gibt es aber auch mehr Gelegenheiten, sich eine zu sichern.
[mit Material von Larry Seltzer, ZDNet.com]
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
