Abo
  • IT-Karriere:

Sicherheit: Github startet Safe Harbor für Bug-Bounty-Programm

Um Teilnehmer seines Bug-Bounty-Programms rechtlich besser abzusichern, startet Github ein Safe-Harbor-Programm, das die Aktionen der Sicherheitsforscher absichern soll. Die Richtlinien basieren auf eigener Erfahrung und Vorlagen aus der Community. Das Programm selbst wird ebenfalls erweitert.

Artikel veröffentlicht am ,
Github will Forscher seines Bug-Bounty-Programm besser schützen.
Github will Forscher seines Bug-Bounty-Programm besser schützen. (Bild: Github)

Das fünfjährige Jubiläum seines Bug-Bounty-Programms nutzt der Code-Hosting- und Kollaborationsdienst Github zum Rückblick und auch zum Anpassen seiner Initiative, wie das Unternehmen in seinem Blog schreibt. Die für interessierte Sicherheitsforscher wohl wichtigste Neuerung ist die Einführung von sogenannten Safe-Harbor-Regeln, die die Tätigkeiten der Forscher künftig rechtlich noch besser schützen sollten.

Stellenmarkt
  1. Hays AG, Berlin-Tempelhof
  2. RUAG Defence Deutschland GmbH, Wedel bei Hamburg

Die nun gefundenen Regeln basieren auf Vorlagen aus der Community, Forschungsarbeiten der für Intel tätigen Juristin Amit Elazari sowie den Regeln der Programme von Bugcrowd oder auch Dropbox. Forscher sollen demnach künftig auch vor rechtlichen Konsequenzen geschützt sein, wenn diese aus Versehen die Regeln des Bug-Bounty-Programms übertreten oder auch gegen die Nutzungsbedingungen von Github selbst verstoßen.

Letzteres gelte insbesondere für Dinge wie etwa Reverse Engineering, was nun explizit für die Suche nach Fehlern erlaubt sei. Wichtig ist das vor allem in den USA, wo der Digital Millennium Copyright Act (DMCA) das Umgehen von Sicherheitsbeschränkungen potenziell unter Strafe stellt, unabhängig vom eigentlichen Zweck.

Github verpflichtet sich darüber hinaus, die Daten der Forscher künftig nur noch anonym an eventuell beteiligte Dritte weiterzureichen und dies auch nur dann, wenn dieser Dritte schriftlich bestätigt, dass keine rechtlichen Schritte eingeleitet werden. Die Vorlagen zu den erweiterten Regeln des Bug-Bounty-Programms von Github stehen zudem unter der CC0-Lizenz, so dass diese auch einfach von anderen Unternehmen genutzt werden können.

Mehr Geld und größerer Umfang

Zusätzlich zu den neuen Safe-Harbor-Regeln erweitert Github auch den Umfang seines Bug-Bounty-Programms. Dies umfasse nun sämtliche von Github selbst betriebenen Dienste, die über die Domain Github.com erreichbar seien. Dies umfasst damit künftig auch Github Education, das Learning Lab, das Jobportal, den Desktop-Client sowie auch die Enterprise Cloud. Zusätzlich dazu dürfen Sicherheitsforscher auch die Dienste der Domains Githubapp.com und Github.net untersuchen, die eigentlich nur für die Mitarbeiter von Github gedacht sind.

Das Unternehmen will die Sicherheitsforscher künftig auch noch besser für gefundene Fehler belohnen. So werden die auszuzahlenden Beträge für die verschiedenen Kategorien der Sicherheitslücken erhöht. Für das Auffinden kritischer Lücken möchte Github nun gar zwischen 20.000 und 30.000 US-Dollar auszahlen. Das Unternehmen behält sich ebenso vor, auch noch deutlich über diese Beträge hinauszugehen, falls besonders innovative Angriffsszenarien gefunden werden.



Anzeige
Spiele-Angebote
  1. (-64%) 6,50€
  2. 51,95€
  3. 2,80€
  4. 4,31€

Folgen Sie uns
       


NXP Autoschlüssel erklärt

VW hat ein Konzeptauto mit einem Schließsystem ausgestattet, das vor Hackerangriffen sicher sein soll. Das Video stellt das System vor.

NXP Autoschlüssel erklärt Video aufrufen
IMHO: Porsche prescht beim Preis übers Ziel hinaus
IMHO
Porsche prescht beim Preis übers Ziel hinaus

Die technischen Werte der beiden elektrischen Porsche Taycan-Versionen sind beeindruckend. Viele werden sie als "Tesla-Killer" bezeichnen. Doch preislich peilt Porsche damit eine extrem kleine Zielgruppe an: Ein gut ausgestatteter Turbo S kostet 214.000 Euro.
Ein IMHO von Dirk Kunde

  1. Gaming Konsolenkrieg statt Spielestreaming
  2. IMHO Valve, so geht es nicht weiter!
  3. Onlinehandel Tesla schlägt Kaufinteressenten die Ladentür vor der Nase zu

5G-Antenne in Berlin ausprobiert: Zu schnell, um nützlich zu sein
5G-Antenne in Berlin ausprobiert
Zu schnell, um nützlich zu sein

Neben einem unwirtlichen Parkplatz in Berlin-Adlershof befindet sich ein Knotenpunkt für den frühen 5G-Ausbau von Vodafone und Telekom. Wir sind hingefahren, um 5G selbst auszuprobieren, und kamen dabei ins Schwitzen.
Von Achim Sawall und Martin Wolf

  1. Tausende neue Nutzer Vodafone schafft Zuschlag für 5G ab
  2. Vodafone Callya Digital Prepaid-Tarif mit 10 GByte Datenvolumen kostet 20 Euro
  3. Kabelnetz Vodafone bekommt Netzüberlastung nicht in den Griff

FX Tec Pro 1 im Hands on: Starkes Tastatur-Smartphone für 650 Euro
FX Tec Pro 1 im Hands on
Starkes Tastatur-Smartphone für 650 Euro

Ifa 2019 Smartphones mit physischer Tastatur sind oft klobig - anders das Pro 1 des Startups FX Tec. Das Gerät bietet eine umfangreiche Tastatur mit gutem Druckpunkt und stabilem Slide-Mechanismus - wie es in einem ersten Kurztest beweist. Zusammengeklappt ist das Smartphone überraschend dünn.
Ein Hands on von Tobias Költzsch

  1. Galaxy A90 5G Samsung präsentiert 5G-Smartphone für 750 Euro
  2. Huami Neue Amazfit-Smartwatches kommen nach Deutschland
  3. The Wall Luxury Samsungs Micro-LED-Display kostet 450.000 Euro

    •  /