Google zahlt für Sicherheit von Open-Source-Projekten

Google möchte die Sicherheit von Open-Source-Software erhöhen und legt dafür ein Unterstützungsprogramm auf. Reichen Teilnehmer Patches ein, die die Software maßgeblich verbessern, erhalten sie von Google zwischen 500 und 3.133,7 US-Dollar.

Belohnt werden nur Einreichungen, die signifikante, strukturelle Verbesserungen bringen; nicht das Melden von einzelnen Sicherheitslücken. Dazu gehört unter anderem die Abhärtung des Rechtemanagements und der Speicherzuweisung, die Fehlerbehebung für verschiedene Arten von Race Conditions oder auch einfach nur das Aktivieren der Speicherverwürfelung ASLR.

Das Programm soll sich zunächst auf einige wenige Projekte konzentrieren. So können Verbesserungen für OpenSSH, BIND, ISC DHCP, libjpeg, libjep-turbo, libpng, giflib, Chromium, Blink, OpenSSL, zlib und sicherheitskritische Komponenten des Linux Kernel eingereicht werden. Zukünftig wolle Google dann auch die Weiterentwicklung von Apache httpd, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm und OpenVPN unterstützen.

Die Verbesserungen sollen nicht direkt bei Google eingereicht, sondern zunächst an die Verantwortlichen der Projekte geschickt werden. Wird der Patch dort akzeptiert, können sich Teilnehmende an security-patches@google.com wenden. Der Internetriese entscheidet dann, wie viele US-Dollar die Patches wert sind.

Google erklärt seine Initiative mit den Verdiensten der Open-Source-Community, von denen jeder profitiere. Mit der Hilfe des Unternehmens könnte so auch die Software abgehärtet werden, die "kritisch für die Gesundheit des gesamten Internet" ist.

Im Rahmen seines Chromium-Belohnungsprogramms zahlt Google auch für konkrete Schwachstellen in einigen der Open-Source-Projekte – vorausgesetzt, sie wirken sich auch auf den Browser aus. (kbe)