Abo
  • IT-Karriere:

Sicherheit: Github startet Safe Harbor für Bug-Bounty-Programm

Um Teilnehmer seines Bug-Bounty-Programms rechtlich besser abzusichern, startet Github ein Safe-Harbor-Programm, das die Aktionen der Sicherheitsforscher absichern soll. Die Richtlinien basieren auf eigener Erfahrung und Vorlagen aus der Community. Das Programm selbst wird ebenfalls erweitert.

Artikel veröffentlicht am ,
Github will Forscher seines Bug-Bounty-Programm besser schützen.
Github will Forscher seines Bug-Bounty-Programm besser schützen. (Bild: Github)

Das fünfjährige Jubiläum seines Bug-Bounty-Programms nutzt der Code-Hosting- und Kollaborationsdienst Github zum Rückblick und auch zum Anpassen seiner Initiative, wie das Unternehmen in seinem Blog schreibt. Die für interessierte Sicherheitsforscher wohl wichtigste Neuerung ist die Einführung von sogenannten Safe-Harbor-Regeln, die die Tätigkeiten der Forscher künftig rechtlich noch besser schützen sollten.

Stellenmarkt
  1. BWI GmbH, Berlin, München, Nürnberg, Rheinbach
  2. Hays AG, Fürth

Die nun gefundenen Regeln basieren auf Vorlagen aus der Community, Forschungsarbeiten der für Intel tätigen Juristin Amit Elazari sowie den Regeln der Programme von Bugcrowd oder auch Dropbox. Forscher sollen demnach künftig auch vor rechtlichen Konsequenzen geschützt sein, wenn diese aus Versehen die Regeln des Bug-Bounty-Programms übertreten oder auch gegen die Nutzungsbedingungen von Github selbst verstoßen.

Letzteres gelte insbesondere für Dinge wie etwa Reverse Engineering, was nun explizit für die Suche nach Fehlern erlaubt sei. Wichtig ist das vor allem in den USA, wo der Digital Millennium Copyright Act (DMCA) das Umgehen von Sicherheitsbeschränkungen potenziell unter Strafe stellt, unabhängig vom eigentlichen Zweck.

Github verpflichtet sich darüber hinaus, die Daten der Forscher künftig nur noch anonym an eventuell beteiligte Dritte weiterzureichen und dies auch nur dann, wenn dieser Dritte schriftlich bestätigt, dass keine rechtlichen Schritte eingeleitet werden. Die Vorlagen zu den erweiterten Regeln des Bug-Bounty-Programms von Github stehen zudem unter der CC0-Lizenz, so dass diese auch einfach von anderen Unternehmen genutzt werden können.

Mehr Geld und größerer Umfang

Zusätzlich zu den neuen Safe-Harbor-Regeln erweitert Github auch den Umfang seines Bug-Bounty-Programms. Dies umfasse nun sämtliche von Github selbst betriebenen Dienste, die über die Domain Github.com erreichbar seien. Dies umfasst damit künftig auch Github Education, das Learning Lab, das Jobportal, den Desktop-Client sowie auch die Enterprise Cloud. Zusätzlich dazu dürfen Sicherheitsforscher auch die Dienste der Domains Githubapp.com und Github.net untersuchen, die eigentlich nur für die Mitarbeiter von Github gedacht sind.

Das Unternehmen will die Sicherheitsforscher künftig auch noch besser für gefundene Fehler belohnen. So werden die auszuzahlenden Beträge für die verschiedenen Kategorien der Sicherheitslücken erhöht. Für das Auffinden kritischer Lücken möchte Github nun gar zwischen 20.000 und 30.000 US-Dollar auszahlen. Das Unternehmen behält sich ebenso vor, auch noch deutlich über diese Beträge hinauszugehen, falls besonders innovative Angriffsszenarien gefunden werden.



Anzeige
Spiele-Angebote
  1. 33,95€
  2. 1,12€

Folgen Sie uns
       


Bose Frames im Test

Die Sonnenbrille Frames von Bose hat integrierte Lautsprecher, die den Träger mit Musik beschallen können. Besonders im Straßenverkehr ist das offene Konzept praktisch.

Bose Frames im Test Video aufrufen
In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Erneuerbare Energien: Die Energiewende braucht Wasserstoff
Erneuerbare Energien
Die Energiewende braucht Wasserstoff

Kein anderes Element ist so universell und dabei simpel aufgebaut wie Wasserstoff und das energiereiche Gas lässt sich aus fast jedem Energieträger gewinnen. Genauso vielseitig gestaltet sich seine Nutzung.
Ein Bericht von Jan Oliver Löfken

  1. Strom-Boje Mittelrhein Schwimmende Kraftwerke liefern Strom aus dem Rhein
  2. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  3. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um

iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

    •  /