IT-Unternehmen sind heute immer mehr auf Hinweise zu Sicherheitslücken von außen angewiesen. Deshalb werden große Projekte aufgelegt und sogar Contests veranstaltet, in denen Systeme oder Software auf Sicherheitslücken untersucht werden. Die Globalplayer des Internets belohnen diese „Hacks“ mit meist großen Geld- und Sachprämien, bieten besonderen Talenten auch mal Jobs an.
Das Bug-Bounty-Hunter-Projekt von GitHub Programm ist auch im sechsten Jahr seit Beginn erfolgreich gestartet. Wie das Unternehmen jetzt auf seinem Blog mitgeteilt hat, wurde die erste Zielmarke von einer Million USD an gezahlten Prämien geknackt. GitHub animiert ambitionierte Profis und Amateure zum Auffinden und Melden von Sicherheitslücken. Je nach Relevanz des Bugs werden Prämien-punkte vergeben, die den Teilnehmern als Geldprämien ausgezahlt werden.
Bereits früh in diesem Jahr hat GitHub weitere Bereiche für Bug-Jäger freigegeben. Zu den Zielprojekten des Unternehmens selbst gehören z.B. die GitHub Mobile App oder auch GitHub Actions, für die im Jahr 2019 insgesamt nur 20.000 USD ausgezahlt wurden. Man mag sich fragen, ob diese Bereiche sehr sicher sind oder die „Jäger“ sich eher auf andere Projekte konzentriert haben. Die Ergebnisse dieses Jahres werden darüber Aufschluss geben.
Bug-Bounty-Hunter-Projekt: 2019 sehr erfolgreich
Im Jahr 2019 zahlte GitHub insgesamt 519.000 US-Dollar Prämien an ambitionierte Hacker aus. Zu den größten Veranstaltungen gehörte das H1-702-Event in Las Vegas, auf dem GitHub die Mitglieder von HackerOne zum „Einbrechen“ in die eigenen Systeme aufgefordert hat.
In diesem Jahr liegt der Schwerpunkt auf dem „GitHub Security Lab Bounty Program“, in dem Open-Source-Software auf Fehler, Bugs und Schwachstellen mittels CodeQL Queries getestet werden sollen. Dadurch könnten größere Bereiche gescannt und Schwachstellen schneller entdeckt werden. Dieses Projekt ist wieder mit hohen Kopfgeldprämien belegt, von denen bereits 21.000 USD ausgezahlt wurden. Später in 2020 wird es ein weiteres Prämienprogramm für Bugs in den Enterprise-Servern von GitHub geben. Die Schwachstellen werden vom Entwicklerunternehmen mit CVEs belegt, was die Transparenz gegenüber Kunden deutlich erhöhen soll.
Bug-Bounty-Hunter-Projekt:Teilnahme möglich
Die Bug-Bounty-Hunter-Projekte von GitHub sind keine „geschlossene Gesellschaften“. Wer sich einschreiben möchte, findet Informationen zu Teilnahme, Regeln und Prämien auf der Domain des Projekts: GitHub Security Bug Bounty.