Original-URL des Artikels: https://www.golem.de/news/web-infrastruktur-google-sponsert-sicherheit-von-open-source-software-1310-102071.html    Veröffentlicht: 10.10.2013 15:51    Kurz-URL: https://glm.io/102071

Web-Infrastruktur

Google sponsert Sicherheit von Open-Source-Software

Der Erfolg von Googles Bug-Bounty-Programmen soll ausgeweitet werden. Geld gibt es aber nicht für Security-Fixes und Bugs, sondern für sicherheitsrelevante Umbauarbeiten an kritischer Software wie OpenSSH, BIND, Zlib oder dem Linux-Kernel.

Die Sicherheit seiner eigenen Produkte lässt sich Google bereits seit einiger Zeit etwas kosten. Über verschiedene Programme verteilt das Unternehmen Geld an externe Entwickler für erfolgreiche Angriffe und Hinweise auf Exploits in Googles Webdiensten oder für Fehler und dazugehörige Patches im Browser Chrome. Wegen des großen Erfolgs der Programme möchte Google nun auch finanzielle Anreize für die Verbesserung der Sicherheit von Software setzen, die entscheidend für die Internet-Infrastruktur des Anbieters ist.

Geld für kritische Projekte

Doch anders als bisher soll das Geld nicht für das Auffinden und Beheben von Fehlern ausgezahlt werden. Vielmehr sollen Patches honoriert werden, die nachweislich einen erheblichen und proaktiven Einfluss auf die Sicherheit der von Google benannten Projekte haben. Dazu zählt Google unter anderem das Absichern von Memory-Allocatoren, Verbesserungen in der Privilege Separation, das Aufräumen in Ganzzahlarithmetiken oder auch das Entfernen von fehleranfälligen Codedesigns.

Vorerst zahlt Google für Patches an OpenSSH, OpenSSL, BIND, ISC DHCP, ZLib, den Parsern für PNG, JPEG, GIF, kritischen Teilen des Linux-Kernels wie KVM sowie Chromium und der Webengine Blink. Später sollen auch Patches für Webserver wie Apache und Nginx, SMTP-Dienste, OpenVPN oder auch GCC, LLVM und die Binutils bezahlt werden.

Erst Patch, dann Geld

Die Belohnungen, die zwischen 500 und 3.133,70 US-Dollar liegen sollen, möchte Google aber erst zahlen, nachdem die Patches in das betreffende Projekt aufgenommen wurden und die Google-Entwickler diese samt eingeschickter detaillierter Erklärung beurteilt haben. Vorgenommen werden die Beurteilungen von Mitgliedern in Googles Security-Team.

Teilnehmen kann jeder, das schließt explizit auch Hauptentwickler und Maintainer der benannten Projekte ein. Weitere Details finden sich auf der Webseite des neuen Programms.  (sg)


Verwandte Artikel:
Telekommunikationsdienst: Der EuGH muss über Gmail urteilen   
(26.02.2018, https://glm.io/133004 )
Drohnenhersteller: DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github   
(20.11.2017, https://glm.io/131231 )
PTI und IBRS: FreeBSD erhält Patches gegen Meltdown und Spectre   
(19.02.2018, https://glm.io/132856 )
Linuxboot: Google und Facebook ersetzen Server-UEFI mit Linux   
(29.01.2018, https://glm.io/132454 )
Chronicle: Alphabet will zum Sicherheitsunternehmen werden   
(25.01.2018, https://glm.io/132374 )

© 1997–2021 Golem.de, https://www.golem.de/