Aufruf an Sicherheitsforschende: Packt mit an und macht unsere digitale Infrastruktur sicherer
Von Tara Tarakiyee
Wir rufen Sicherheitsexpert*innen dazu auf, die Widerstandsfähigkeit der offenen digitalen Infrastruktur zu verbessern. Macht mit bei den sieben Projekten der Bug-und-Fix-Bounty.
Alle Bugs sind trivial, wenn man nur genügend Entwickler*innen hat.
Die Offenheit offener digitalen Infrastruktur ist nicht selbstverständlich. Je kritischer ein Softwareprojekt ist, desto schwieriger ist es, ein korrektes Schwachstellenmanagement zu betreiben. Wie das obige Sprichwort aus der Softwareentwicklung sagt, ist es viel einfacher, wenn man diese Offenheit mit mehr Zusammenarbeit und Kontrolle kombiniert. Dieses Prinzip ist ein Grundstein des Ansatzes des Bug-Resilience-Programms (BRP), um die Widerstandsfähigkeit der offenen digitalen Infrastruktur zu stärken. Es gilt für den Abbau technischer Schulden und die Verbesserung der Beitragsrichtlinien über Dienstleistung direkte Mitwirkung ebenso wie für die Code Audits.
Am deutlichsten wird dieses Prinzip jedoch bei den Bug-Bounty-Projekten auf der YesWeHack-Plattform. Dabei geht es darum, so viele Augen wie möglich auf den Code zu lenken, der unser digitales Leben am Laufen hält, und die Widerstandsfähigkeit und Sicherheit dieses Codes zu verbessern. Sicherheitsforscher*innen, Bug-Jäger*innen und Hacker*innen arbeiten unermüdlich und oft unter großem persönlichem Risiko daran, Schwachstellen zu finden und zu beheben, bevor böswillige Akteure sie ausnutzen können. Sie nutzen ihr Fachwissen und ihre Expertise, um Schwachstellen in der aktuell eingesetzten Technologie-Infrastruktur aufzudecken, und tragen so zu einer aktiven Verteidigung gegen unentdeckte Schwachstellen bei.
Wir beim BRP legen großen Wert auf eine „Responsible Disclosure“ (verantwortungsvolle Offenlegung), da unsere Dienstleistungen Softwareprojekte unterstützen, die von Millionen von Menschen genutzt werden und auf die sie sich verlassen. Die verantwortungsvolle Offenlegung stellt sicher, dass entdeckte Schwachstellen so gemeldet werden, dass sie behoben werden können, und dass sie auf eine Weise bekannt gegeben werden, die möglichen Missbrauch oder Schaden für Nutzer*innen der betroffenen Software minimiert.
Welche Art von Software wird von den Forscher*innen untersucht?
Wir freuen uns, fünf neue Bug-und-Fix-Bounty-Projekte ankündigen zu können, die zu den beiden bereits laufenden Projekten hinzukommen. Weitere werden im Laufe des Jahres folgen, sobald wir sie aufgenommen haben. Wenn du für ein offenes Softwareprojekt für digitale Infrastrukturen verantwortlich bist, erfahre hier, wie du dich bewerben kannst.
Bestehende Bug-und-Fix-Bounty-Programme
- systemd ist ein Paket von Grundbausteinen für ein Linux-System. Es bietet einen System- und Dienstmanager, der als PID 1 läuft und den Rest des Systems startet.
Weitere Informationen zum systemd Bug Bounty - Sequoia PGP bietet mehrere sichere Kommunikations- und Authentifizierungslösungen im OpenPGP-Bereich, darunter eine in Rust geschriebene PGP-Implementierung auf niedriger Ebene.
Weitere Informationen zum Sequoia PGP Bug Bounty
Neue Bug-und-Fix-Bounty-Programme
- OpenPGP.js ist eine JavaScript-Bibliothek, die den OpenPGP-Standard für die Verschlüsselung und Signierung von Nachrichten implementiert.
Weitere Infomationen zum OpenPGP.js Bug Bounty - ntpd-rs ist eine in Rust geschriebene Open-Source-Implementierung des Network Time Protocol.
Weitere Informationen zum ntpd-rs Bug Bounty - Apache Log4j ist ein vielseitiges, industrietaugliches Java Logging Framework.
Weitere Informationen zum Apache Log4j Bug Bounty - CycloneDX Rust ist ein Projekt zum Lesen, Schreiben und Erzeugen von CycloneDX SBOMs für die Verwendung in Cargo-basierten Rust-Projekten.
Weitere Informationen zum CycloneDX Rust Bug Bounty - Glib ist eine Low-Level-Kernbibliothek, die hauptsächlich von GNOME entwickelt wurde und die Datenstrukturverarbeitung für C, Portabilitäts-Wrapper und Schnittstellen für Laufzeitfunktionen wie eine Ereignisschleife, Threads, dynamisches Laden und ein Objektsystem bereitstellt.
Weitere Informationen zum Glib Bug Bounty
Wie du mitmachen kannst
- Erhalte eine Belohnung für das Entdecken einer qualifizierten Sicherheitslücke! Wähle ein Softwareprojekt aus, das deinem Interesse und deiner Erfahrung entspricht, lies dir den Umfang genau durch, recherchiere und reiche deine Berichte über die YesWeHack-Plattform ein.
- Teile das Programm mit deinen Communitys. Wir glauben fest daran, dass es wichtig ist, kollektives Wissen zu nutzen und eine Kultur der Zusammenarbeit und der Sicherheit in offenen digitalen Infrastrukturen zu fördern, und das können wir nicht ohne deine Hilfe.
Deine Fähigkeiten, dein Engagement und deine Expertise können einen großen Unterschied machen. Gemeinsam können wir die Widerstandsfähigkeit und Sicherheit unserer kritischen, offenen digitalen Infrastruktur weiter gewährleisten.
