Gemeinschaft::Organisationen
Google erweitert »Patch Rewards Program«
Googles »Patch Rewards Program« zahlt Prämien für das Auffinden von Sicherheitslücken in prominenten Open-Source-Anwendungen. Im nächsten Jahr soll das Programm erweitert werden.
Google
Bereits
seit sechs Jahren zahlt Google im Rahmen des »Patch Rewards Program« Prämien für aufgefundene Sicherheitslücken in wichtigen Open-Source-Anwendungen wie beispielsweise dem Linux Kernel, in OpenSSH, OpenSSL, Apache, Nginx, Bind, APT, jQuery oder OpenVPN. Die Höhe der ausgezahlten Beträge reicht von 500 bis 20.000 US-Dollar. In Einzelfällen lag der Betrag auch höher, insgesamt wurden im Lauf der Jahre mehrere hunderttausend Dollar ausgezahlt.
Im kommenden Jahr möchte Google das Prinzip des Entlohnungsprogramms erweitern, indem Mittel nicht nur nach Einreichung von akzeptierten Patches ausgezahlt werden, sondern eine Zahlung auf Antrag auch proaktiv im Voraus möglich ist. Das geht aus einem aktuellen Blogeintrag des Unternehmens hervor. So soll das Programm ab dem 1. Januar 2020 durch finanzielle Unterstützung im Vorfeld ergänzt werden, um Open-Source-Entwicklern eine zusätzliche Ressource zur Verfügung zu stellen, mit der sie der Arbeit an der Sicherheit der von ihnen betreuten Anwendungen priorisieren können. Damit sollen beispielsweise auch kleine Open-Source-Projekte in die Lage versetzt werden, zusätzlich benötigte Entwicklerkapazitäten bereitzustellen.
Google wird dafür anfangs zwei Unterstützungsebenen einrichten, die Summen von 5.000 und 30.000 US-Dollar beinhalten. Die erste Ebene soll kleinere Projekte für die Behebung von Sicherheitsproblemen motivieren und belohnen. Als Beispiele nennt Google eine verbesserte Privilegientrennung oder die Einführung von Sandboxing in einem Projekt. Die zweite Ebene richtet sich eher an größere Projekte, die verstärkt in Sicherheit investieren und dafür zusätzliche Entwickler einbinden möchten.
Projekte können unter Patchz-Nomination vorgeschlagen werden, ein Gremium bei Google wird die Einreichungen monatlich bewerten und geeignete Projekte auswählen. Jedes Open-Source-Projekt kann für die Unterstützung nominiert werden. Bei der Auswahl der Projekte wird das Gremium den Schwerpunkt auf Projekte legen, die entweder für die Gesundheit des Internets von entscheidender Bedeutung sind oder Endnutzerprojekte mit einer großen Nutzerbasis sind.
){kind=logo}
