GitHub Security Bug Bounty Program sorgt für Fixes bei zahlreichen Schwachstellen
Kommentare

Im Januar 2014 hat GitHub sein Security Bug Bounty Program gelauncht. Nach knapp einem Jahr zeigt sich, dass das Programm Früchte zu tragen scheint: dank zahlreicher Bug-Reports konnten über 70 bis dato unbekannte Schwachstellen in GitHub-Applikationen identifiziert und behoben werden.

Zudem dürfen sich erfolgreiche Bug-Jäger über eine doppelte maximale Gewinnausschüttung im zweiten Jahr des Programms freuen. Das erklärten die GitHub-Entwickler in einem Blogpost.

Bug Bounty Program sorgt für viele Schwachstellen-Fixes

Innerhalb des ersten Jahres des Security Bug Bounty Programs wurden 1920 Submissions eingereicht, wovon immerhin 869 weitere Untersuchungen erforderten. Damit ließen sich insbesondere Schwachstellen identifizieren und beheben, die zu den OWASP Top 10 Schwachstellen-Klassifikationen zählen.

Insgesamt wurden 73 bisher unbekannte Schwachstellen in GitHub-Applikationen behoben; 57 davon lassen sich zudem als mittleres oder hohes Risiko einstufen. Dazu zählen beispielsweise eine DOM-basierte Cross-Site-Scripting-Schwachstelle oder eine komplexe Schwachstelle bei der Kommunikation zwischen zwei GitHub-Backend-Servern.

Doppelte Ausschüttung für erfolgreiche Bug-Jäger

Auch im zweiten Jahr des Security Bug Bounty Programs will GitHub erfolgreiche Bug-Jäger belohnen. Bisher lag die maximale Ausschüttung bei 5.000 US-Dollar, nun wurde sie auf 10.000 US-Dollar verdoppelt. Die tatsächliche Belohnung für eingereichte Bugs berechnet sich allerdings auch weiterhin auf Basis des Schweregrads der möglichen Schwachstelle. Im vergangenen Jahr erhielten so 33 individuelle Bug-Jäger einen Gesamtbetrag von 50.100 US-Dollar.

Mehr Informationen zum Security Bug Bounty Program gibt es auf der Programm-Website. Dort finden sich auch die Richtlinien zur Teilnahme und zahlreiche FAQs.

Aufmacherbild: Man spraying on a fly a poisonous aerosol von Shutterstock / Urheberrecht: Dmitry Syshchikov

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -