Security: Curl bekommt eigenes Bug-Bounty-Programm

Das kleine Kommandozeilenwerkzeug Curl und dessen Bibliothek finden sich in nahezu allen vernetzten Geräten. Sicherheitsforscher erhalten künftig eine Bug-Bounty, also Geld für das Auffinden von Sicherheitslücken in der Software Curl.

Artikel veröffentlicht am ,
Für das Fangen von Bugs in Curl gibt es künftig Prämien.
Für das Fangen von Bugs in Curl gibt es künftig Prämien. (Bild: Martin Wolf/Golem.de)

Der Projektgründer und Hauptentwickler des kleinen Kommandozeilenwerkzeugs Curl, Daniel Stenberg, zählt in seinem Blog immer wieder gern und auch sichtlich stolz auf, auf wie vielen Milliarden vernetzen Geräte das Werkzeug zum Dateitransfer läuft. Das Projekt wird trotzdem nach wie vor von Stenberg nur als Hobby in seiner Freizeit betrieben. Dank Community-Sponsoren kann das Curl-Projekt nun aber erstmals eigene Bug-Bountys ausloben, also Geld für das Auffinden von Sicherheitslücken.

Stellenmarkt
  1. Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter (m/w/d) am Lehrstuhl für ... (m/w/d)
    Universität Passau, Passau
  2. Webentwickler JAVA (m/w/d)
    ESN EnergieSystemeNord GmbH, Bochum
Detailsuche

Wie Stenberg in seinem Blog schreibt, war es auch bisher schon möglich, Bug-Bountys für Curl zu bekommen. Das lief bisher jedoch über die Internet-Bug-Bountys von Hackerone. Das zielt jedoch wenig spezifisch auf Sicherheitslücken, die gefährlich für das Internet sind und meist Projekte betreffen, die nicht von Unternehmen, sondern wie bei Curl von einer kleinen Community betreut werden.

Das ist Stenberg offenbar für das weitverbreitete Curl zu unspezifisch und vor allem auch zu unstrukturiert, da bei dem Programm von Hackerone nicht klar geregelt ist, unter welchen Umständen in Curl gefundene Fehler belohnt werden. Deshalb gibt es für Curl nun ein eigenständiges Bug-Bounty-Programm, das über den Anbieter Bountygraph abgewickelt wird.

Bountygraph ist auch der erste Sponsor der Prämien, die mit 500 US-Dollar noch sehr klein ausfallen. Stenberg hofft, dass sich viele weitere Unternehmen anschließen, die Curl aktiv einsetzen und denen die Sicherheit des Werkzeugs wichtig ist. Ziel ist laut der Ankündigung, mithilfe von vielen unterschiedlichen Sponsoren aus der Community eine Art Bounty-Fonds für Curl zu erstellen, um auch bei schwerwiegenden Sicherheitslücken angemessene Belohnungen ausschütten zu können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Open Source
"Antworten Sie innerhalb von 24 Stunden"

Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Open Source: Antworten Sie innerhalb von 24 Stunden
Artikel
  1. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

  2. Onlinekurse zu 3D-Visualisierung und Spieleprogrammierung
     
    Onlinekurse zu 3D-Visualisierung und Spieleprogrammierung

    3D-Visualiserung hat den Bereich des Game Developments längst hinter sich gelassen. Die Golem Akademie bietet sechs virtuelle Workshops zum Themenfeld.
    Sponsored Post von Golem Akademie

  3. Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
    Bundesservice Telekommunikation
    Schlecht getarnte Tarnorganisation praktisch enttarnt

    Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.
    Von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Palit RTX 3080 12GB 1.548,96€ • Acer Curved Gaming-Monitor 27" 259€ • Corsair 16GB DDR4-4000 111,21€ • MindStar (u.a. 8GB DDR5-4800 89€) • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ • 4 Blu-rays für 22€ [Werbung]
    •  /