Google zahlt für Sicherheitslücken in Open Source-Projekten
Google zahlt bereits seit vielen Jahren im Rahmen des Vulnerability Reward Program Prämien für das Finden und Melden von Sicherheitslücken in den eigenen Produkten. Nun wird dieses Programm erweitert und schließt künftig auch Open Source-Projekte ein, die nicht von Google entwickelt worden sind.
Da bekanntlich keine Software frei von Bugs ist, zahlen viele Unternehmen mittlerweile vergleichsweise hohe Prämien für entdeckte (schwerwiegende) Sicherheitslücken. Dies schafft nicht nur einen Anreiz für Hobby-Hacker und -Entwickler diese zu finden, sondern erhöht natürlich auch die Sicherheit der Produkte.
Dieses Programm wird nun auf einige populäre Open Source-Projekte ausgedehnt, die sich ein solches Vorhaben mangels finanzieller Mittel nicht leisten können. Die vorgenommenen grundlegenden Verbesserungen werden dabei direkt an die Entwickler gemeldet, Google übernimmt nur den Teil mit der zu zückenden Geldbörse.
Einzelne Sicherheitslücken werden in dem Programm nicht berücksichtigt, der Entdecker muss sich selbst die Arbeit machen, diese Lücke zu beheben bzw. das System ausreichend zu verbessern. Diese Einreichung wird dann von den Entwicklern geprüft und eventuell für das eigene Projekt übernommen. Erst anschließend meldet sich der Entdecker bei Google und kann seine Entlohnung fordern.
Folgende Projekte werden derzeit unterstützt:
OpenSSH, BIND, ISC DHCP, libjpeg, libjep-turbo, libpng, giflib, Chromium, Blink, OpenSSL, zlib + relevante Teile für die Sicherheit des Linux-Kernels
In Zukunft sollen auch noch Apache httpd, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm und OpenVPN unterstützt werden – einen Zeitplan für die Ausdehnung des Programms nennt Google in der Ankündigung allerdings noch nicht.
Ganz Uneigennützig ist diese neue Initiative von Google natürlich nicht, schließlich setzt das Unternehmen bzw. die Entwickler auf viele dieser Open Source-Projekte und setzt sie in den diversen Google-Produkten ein. Die Sicherheit der eigenen Produkte wird dadurch also ebenfalls erhöht.
Google argumentiert aber auch damit, dass man die „Gesundheit des Internets“ weiter verbessern und groß angelegte Hacks in Zukunft verhindern möchte:
We all benefit from the amazing volunteer work done by the open source community. That’s why we keep asking ourselves how to take the model pioneered with our Vulnerability Reward Program – and employ it to improve the security of key third-party software critical to the health of the entire Internet.
Wie viel Geld für eine Einreichung am Ende ausbezahlt wird – die Spanne liegt zwischen 500 und 3.133,70 Dollar – entscheidet Google anschließend selbst.
» Ankündigung im Google Security-Blog
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Die Überschrift und er Artikel sind komplett falsch. Google zahlt nicht für Fehler in OSS, sondern für Patches in OSS die die Sicherheit grundlegend verbessern. Es geht hierbei nicht Schwachstellen zu finden oder zu fixen.
„So we decided to try something new: provide financial incentives for down-to-earth, proactive improvements that go beyond merely fixing a known security bug. Whether you want to switch to a more secure allocator, to add privilege separation, to clean up a bunch of sketchy calls to strcat(), or even just to enable ASLR – we want to help!“
Genau das habe ich auch gedacht! 😉 Das könnte ich mir auch nicht vorstellen dass Google für Fehler zahlt.