Abo
  • IT-Karriere:

Sicherheit: Github startet Safe Harbor für Bug-Bounty-Programm

Um Teilnehmer seines Bug-Bounty-Programms rechtlich besser abzusichern, startet Github ein Safe-Harbor-Programm, das die Aktionen der Sicherheitsforscher absichern soll. Die Richtlinien basieren auf eigener Erfahrung und Vorlagen aus der Community. Das Programm selbst wird ebenfalls erweitert.

Artikel veröffentlicht am ,
Github will Forscher seines Bug-Bounty-Programm besser schützen.
Github will Forscher seines Bug-Bounty-Programm besser schützen. (Bild: Github)

Das fünfjährige Jubiläum seines Bug-Bounty-Programms nutzt der Code-Hosting- und Kollaborationsdienst Github zum Rückblick und auch zum Anpassen seiner Initiative, wie das Unternehmen in seinem Blog schreibt. Die für interessierte Sicherheitsforscher wohl wichtigste Neuerung ist die Einführung von sogenannten Safe-Harbor-Regeln, die die Tätigkeiten der Forscher künftig rechtlich noch besser schützen sollten.

Stellenmarkt
  1. Hessisches Ministerium der Finanzen, Wiesbaden
  2. WERTGARANTIE Group, Hannover

Die nun gefundenen Regeln basieren auf Vorlagen aus der Community, Forschungsarbeiten der für Intel tätigen Juristin Amit Elazari sowie den Regeln der Programme von Bugcrowd oder auch Dropbox. Forscher sollen demnach künftig auch vor rechtlichen Konsequenzen geschützt sein, wenn diese aus Versehen die Regeln des Bug-Bounty-Programms übertreten oder auch gegen die Nutzungsbedingungen von Github selbst verstoßen.

Letzteres gelte insbesondere für Dinge wie etwa Reverse Engineering, was nun explizit für die Suche nach Fehlern erlaubt sei. Wichtig ist das vor allem in den USA, wo der Digital Millennium Copyright Act (DMCA) das Umgehen von Sicherheitsbeschränkungen potenziell unter Strafe stellt, unabhängig vom eigentlichen Zweck.

Github verpflichtet sich darüber hinaus, die Daten der Forscher künftig nur noch anonym an eventuell beteiligte Dritte weiterzureichen und dies auch nur dann, wenn dieser Dritte schriftlich bestätigt, dass keine rechtlichen Schritte eingeleitet werden. Die Vorlagen zu den erweiterten Regeln des Bug-Bounty-Programms von Github stehen zudem unter der CC0-Lizenz, so dass diese auch einfach von anderen Unternehmen genutzt werden können.

Mehr Geld und größerer Umfang

Zusätzlich zu den neuen Safe-Harbor-Regeln erweitert Github auch den Umfang seines Bug-Bounty-Programms. Dies umfasse nun sämtliche von Github selbst betriebenen Dienste, die über die Domain Github.com erreichbar seien. Dies umfasst damit künftig auch Github Education, das Learning Lab, das Jobportal, den Desktop-Client sowie auch die Enterprise Cloud. Zusätzlich dazu dürfen Sicherheitsforscher auch die Dienste der Domains Githubapp.com und Github.net untersuchen, die eigentlich nur für die Mitarbeiter von Github gedacht sind.

Das Unternehmen will die Sicherheitsforscher künftig auch noch besser für gefundene Fehler belohnen. So werden die auszuzahlenden Beträge für die verschiedenen Kategorien der Sicherheitslücken erhöht. Für das Auffinden kritischer Lücken möchte Github nun gar zwischen 20.000 und 30.000 US-Dollar auszahlen. Das Unternehmen behält sich ebenso vor, auch noch deutlich über diese Beträge hinauszugehen, falls besonders innovative Angriffsszenarien gefunden werden.



Anzeige
Hardware-Angebote
  1. 249,00€ + Versand
  2. 399€ (Wert der Spiele rund 212€)
  3. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


B-all One für Magic Leap - Gameplay

Ein Squash-Spiel zeigt, wie gut bei Magic Leap das Mapping der Umgebung und das Tracking unserer Position klappt.

B-all One für Magic Leap - Gameplay Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

    •  /