Web-Infrastruktur: Google sponsert Sicherheit von Open-Source-Software

Der Erfolg von Googles Bug-Bounty-Programmen soll ausgeweitet werden. Geld gibt es aber nicht für Security-Fixes und Bugs, sondern für sicherheitsrelevante Umbauarbeiten an kritischer Software wie OpenSSH, BIND, Zlib oder dem Linux-Kernel.

Artikel veröffentlicht am ,
Google bezahlt sicherheitsrelevante Patches in kritischer Software.
Google bezahlt sicherheitsrelevante Patches in kritischer Software. (Bild: Google)

Die Sicherheit seiner eigenen Produkte lässt sich Google bereits seit einiger Zeit etwas kosten. Über verschiedene Programme verteilt das Unternehmen Geld an externe Entwickler für erfolgreiche Angriffe und Hinweise auf Exploits in Googles Webdiensten oder für Fehler und dazugehörige Patches im Browser Chrome. Wegen des großen Erfolgs der Programme möchte Google nun auch finanzielle Anreize für die Verbesserung der Sicherheit von Software setzen, die entscheidend für die Internet-Infrastruktur des Anbieters ist.

Geld für kritische Projekte

Stellenmarkt
  1. Informatiker als Fachreferent Informationssicherheitsbeauf- tragter (m/w/d)
    Kassenärztliche Vereinigung Bayerns Stabsstelle Personal, München
  2. Wissenschaftliche*r Mitarbeiter*in (d/m/w) - Institut für Softwaretechnik und Theoretische Informatik/FG
    Technische Universität Berlin, Berlin
Detailsuche

Doch anders als bisher soll das Geld nicht für das Auffinden und Beheben von Fehlern ausgezahlt werden. Vielmehr sollen Patches honoriert werden, die nachweislich einen erheblichen und proaktiven Einfluss auf die Sicherheit der von Google benannten Projekte haben. Dazu zählt Google unter anderem das Absichern von Memory-Allocatoren, Verbesserungen in der Privilege Separation, das Aufräumen in Ganzzahlarithmetiken oder auch das Entfernen von fehleranfälligen Codedesigns.

Vorerst zahlt Google für Patches an OpenSSH, OpenSSL, BIND, ISC DHCP, ZLib, den Parsern für PNG, JPEG, GIF, kritischen Teilen des Linux-Kernels wie KVM sowie Chromium und der Webengine Blink. Später sollen auch Patches für Webserver wie Apache und Nginx, SMTP-Dienste, OpenVPN oder auch GCC, LLVM und die Binutils bezahlt werden.

Erst Patch, dann Geld

Die Belohnungen, die zwischen 500 und 3.133,70 US-Dollar liegen sollen, möchte Google aber erst zahlen, nachdem die Patches in das betreffende Projekt aufgenommen wurden und die Google-Entwickler diese samt eingeschickter detaillierter Erklärung beurteilt haben. Vorgenommen werden die Beurteilungen von Mitgliedern in Googles Security-Team.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Teilnehmen kann jeder, das schließt explizit auch Hauptentwickler und Maintainer der benannten Projekte ein. Weitere Details finden sich auf der Webseite des neuen Programms.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

Egon E. 11. Okt 2013

Lies doch bitte den Artikel. So funktioniert das nicht. Hier wird es etwas genauer...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /