Abo
  • Services:

Web-Infrastruktur: Google sponsert Sicherheit von Open-Source-Software

Der Erfolg von Googles Bug-Bounty-Programmen soll ausgeweitet werden. Geld gibt es aber nicht für Security-Fixes und Bugs, sondern für sicherheitsrelevante Umbauarbeiten an kritischer Software wie OpenSSH, BIND, Zlib oder dem Linux-Kernel.

Artikel veröffentlicht am ,
Google bezahlt sicherheitsrelevante Patches in kritischer Software.
Google bezahlt sicherheitsrelevante Patches in kritischer Software. (Bild: Google)

Die Sicherheit seiner eigenen Produkte lässt sich Google bereits seit einiger Zeit etwas kosten. Über verschiedene Programme verteilt das Unternehmen Geld an externe Entwickler für erfolgreiche Angriffe und Hinweise auf Exploits in Googles Webdiensten oder für Fehler und dazugehörige Patches im Browser Chrome. Wegen des großen Erfolgs der Programme möchte Google nun auch finanzielle Anreize für die Verbesserung der Sicherheit von Software setzen, die entscheidend für die Internet-Infrastruktur des Anbieters ist.

Geld für kritische Projekte

Stellenmarkt
  1. über duerenhoff GmbH, Raum Kirchheim unter Teck
  2. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln

Doch anders als bisher soll das Geld nicht für das Auffinden und Beheben von Fehlern ausgezahlt werden. Vielmehr sollen Patches honoriert werden, die nachweislich einen erheblichen und proaktiven Einfluss auf die Sicherheit der von Google benannten Projekte haben. Dazu zählt Google unter anderem das Absichern von Memory-Allocatoren, Verbesserungen in der Privilege Separation, das Aufräumen in Ganzzahlarithmetiken oder auch das Entfernen von fehleranfälligen Codedesigns.

Vorerst zahlt Google für Patches an OpenSSH, OpenSSL, BIND, ISC DHCP, ZLib, den Parsern für PNG, JPEG, GIF, kritischen Teilen des Linux-Kernels wie KVM sowie Chromium und der Webengine Blink. Später sollen auch Patches für Webserver wie Apache und Nginx, SMTP-Dienste, OpenVPN oder auch GCC, LLVM und die Binutils bezahlt werden.

Erst Patch, dann Geld

Die Belohnungen, die zwischen 500 und 3.133,70 US-Dollar liegen sollen, möchte Google aber erst zahlen, nachdem die Patches in das betreffende Projekt aufgenommen wurden und die Google-Entwickler diese samt eingeschickter detaillierter Erklärung beurteilt haben. Vorgenommen werden die Beurteilungen von Mitgliedern in Googles Security-Team.

Teilnehmen kann jeder, das schließt explizit auch Hauptentwickler und Maintainer der benannten Projekte ein. Weitere Details finden sich auf der Webseite des neuen Programms.



Anzeige
Top-Angebote
  1. (-81%) 5,55€
  2. 299,00€ inkl. Versand
  3. 433,00€ (Bestpreis!)
  4. 481,00€ (Bestpreis!)

Egon E. 11. Okt 2013

Lies doch bitte den Artikel. So funktioniert das nicht. Hier wird es etwas genauer...


Folgen Sie uns
       


Nach E-Fail, was tun ohne sichere E-Mails - Livestream

Die E-Fail genannte Sicherheitslücke betrifft die standardisierten E-Mail-Verschlüsselungsverfahren OpenPGP und S/MIME. Im Livestream diskutieren wir den technischen Hintergrund der zuletzt aufgedeckten Lücken und besprechen, was Nutzer nun tun können, wenn sie ihre Nachrichten weiter sicher verschicken wollen.

Nach E-Fail, was tun ohne sichere E-Mails - Livestream Video aufrufen
Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

Steam Link App ausprobiert: Games in 4K auf das Smartphone streamen
Steam Link App ausprobiert
Games in 4K auf das Smartphone streamen

Mit der Steam Link App lassen sich der Desktop und Spiele vom Computer auf Smartphones übertragen. Im Kurztest mit einem Windows-Desktop und einem Google Pixel 2 klappte das einwandfrei - sogar in 4K.
Ein Bericht von Marc Sauter

  1. Valve Steam Spy steht nach Datenschutzänderungen vor dem Aus
  2. Insel Games Spielehersteller wegen Fake-Reviews von Steam ausgeschlossen
  3. Spieleportal Bitcoin ist Steam zu unbeständig und zu teuer

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


      •  /