Sicherheit: Github startet Safe Harbor für Bug-Bounty-Programm

Um Teilnehmer seines Bug-Bounty-Programms rechtlich besser abzusichern, startet Github ein Safe-Harbor-Programm, das die Aktionen der Sicherheitsforscher absichern soll. Die Richtlinien basieren auf eigener Erfahrung und Vorlagen aus der Community. Das Programm selbst wird ebenfalls erweitert.

Artikel veröffentlicht am ,
Github will Forscher seines Bug-Bounty-Programm besser schützen.
Github will Forscher seines Bug-Bounty-Programm besser schützen. (Bild: Github)

Das fünfjährige Jubiläum seines Bug-Bounty-Programms nutzt der Code-Hosting- und Kollaborationsdienst Github zum Rückblick und auch zum Anpassen seiner Initiative, wie das Unternehmen in seinem Blog schreibt. Die für interessierte Sicherheitsforscher wohl wichtigste Neuerung ist die Einführung von sogenannten Safe-Harbor-Regeln, die die Tätigkeiten der Forscher künftig rechtlich noch besser schützen sollten.

Stellenmarkt
  1. Software Quality Assurance Engineer (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. Senior Frontend Developer (m/w/d)
    Seriotec GmbH, München
Detailsuche

Die nun gefundenen Regeln basieren auf Vorlagen aus der Community, Forschungsarbeiten der für Intel tätigen Juristin Amit Elazari sowie den Regeln der Programme von Bugcrowd oder auch Dropbox. Forscher sollen demnach künftig auch vor rechtlichen Konsequenzen geschützt sein, wenn diese aus Versehen die Regeln des Bug-Bounty-Programms übertreten oder auch gegen die Nutzungsbedingungen von Github selbst verstoßen.

Letzteres gelte insbesondere für Dinge wie etwa Reverse Engineering, was nun explizit für die Suche nach Fehlern erlaubt sei. Wichtig ist das vor allem in den USA, wo der Digital Millennium Copyright Act (DMCA) das Umgehen von Sicherheitsbeschränkungen potenziell unter Strafe stellt, unabhängig vom eigentlichen Zweck.

Github verpflichtet sich darüber hinaus, die Daten der Forscher künftig nur noch anonym an eventuell beteiligte Dritte weiterzureichen und dies auch nur dann, wenn dieser Dritte schriftlich bestätigt, dass keine rechtlichen Schritte eingeleitet werden. Die Vorlagen zu den erweiterten Regeln des Bug-Bounty-Programms von Github stehen zudem unter der CC0-Lizenz, so dass diese auch einfach von anderen Unternehmen genutzt werden können.

Mehr Geld und größerer Umfang

Golem Karrierewelt
  1. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
Weitere IT-Trainings

Zusätzlich zu den neuen Safe-Harbor-Regeln erweitert Github auch den Umfang seines Bug-Bounty-Programms. Dies umfasse nun sämtliche von Github selbst betriebenen Dienste, die über die Domain Github.com erreichbar seien. Dies umfasst damit künftig auch Github Education, das Learning Lab, das Jobportal, den Desktop-Client sowie auch die Enterprise Cloud. Zusätzlich dazu dürfen Sicherheitsforscher auch die Dienste der Domains Githubapp.com und Github.net untersuchen, die eigentlich nur für die Mitarbeiter von Github gedacht sind.

Das Unternehmen will die Sicherheitsforscher künftig auch noch besser für gefundene Fehler belohnen. So werden die auszuzahlenden Beträge für die verschiedenen Kategorien der Sicherheitslücken erhöht. Für das Auffinden kritischer Lücken möchte Github nun gar zwischen 20.000 und 30.000 US-Dollar auszahlen. Das Unternehmen behält sich ebenso vor, auch noch deutlich über diese Beträge hinauszugehen, falls besonders innovative Angriffsszenarien gefunden werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn  
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  2. Retro Computing: Lotus 1-2-3 auf Linux portiert
    Retro Computing
    Lotus 1-2-3 auf Linux portiert

    Das Tape-Archiv eines BBS mit Schwarzkopien aus den 90ern lädt Google-Entwickler Tavis Ormandy zum Retro-Hacking ein.

  3. WD Red: 7 US-Dollar für falsch beworbene NAS-Festplatte
    WD Red
    7 US-Dollar für falsch beworbene NAS-Festplatte

    Weil Western Digital einige NAS-Festplatten ohne Hinweis mit SMR-Technik verkauft hatte, muss der Hersteller dafür geradestehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /