GitHub: Mehr Geld und Sicherheit für Bug-Jäger
Das GitHub-Bug-Bounty-Programm soll 2019 mehr Geld springen lassen. Außerdem gibt es nun auch Belohnungen für gefundene Fehler in anderen GitHub-Produkten.
Das Logo des GitHub Bug Bounty Program
(Bild: GitHub)
- Björn Bohn
Gründe zur Freude für Fehlersuchende: GitHub hat angekündigt, sein Bug-Bounty-Programm im Jahr 2019 zu erweitern. So soll es sowohl mehr Geld für Fehler aller Art geben als auch eine Ausweitung des Programms auf weitere GitHub-Produkte – nämlich GitHub Education, Learning Lab, Jobs, Desktop und die Enterprise Cloud. Darüber hinaus hat die Firma hinter der Versionsverwaltung eine Sammlung an Safe-Harbor-Erklärungen für das Programm ergänzt, die Teilnehmer des Programms vor rechtlichen Schwierigkeiten schützen sollen.
Seit fünf Jahren auf der Jagd
Anlass für die Neuerungen war wohl unter anderem das fünfjährige Bestehen des Programms. GitHub erklärt, dass die Firma im vergangenen Jahr rund 165.000 US-Dollar im Rahmen der Bug-Bounty-Initiative ausgeschüttet habe – addiert man weitere Forschungsgelder hinzu, beläuft sich die Summe wohl auf einer Viertelmillion. Die Neuerungen sollen die Entwicklung fortsetzen. GitHub zahlt demnach zwischen 20.000 und 30.000 US-Dollar für den Fund eines kritischen Fehlers, 10.000 bis 20.000 US-Dollar für Fehler des Status "High", 4000 bis 10.000 US-Dollar für Medium, und 617 bis 2000 US-Dollar für die niedrigste Stufe.
Interessant ist hierbei vor allem eine Ergänzung bezüglich der kritischen Fehler: Die Summe von 30.000 US-Dollar dient demnach nur noch als Richtwert. GitHub behält sich vor, weitaus größere Summen zu zahlen, wenn die Forschung wirklich innovativ ist.
Rechtliche Sicherheit durch Safe Harbor
GitHub hat der Bug-Bounty-Website eine Reihe von Legal-Safe-Harbor-Erklärungen hinzugefügt, die Teilnehmern einen gewissen Rechtsschutz bieten sollen. Grob gesagt lässt sich der Schutz in drei Punkten zusammenfassen. Zum einen schließt GitHub rechtliche Schritte gegen Entwickler aus, die die Grenzen des Programms während ihrer Arbeiten unabsichtlich überschreiten. Allerdings kann GitHub nicht garantieren, dass betroffene Drittanbieter ebenso handeln werden. Zum anderen möchte GitHub keine Informationen an Drittanbieter übergeben, die die Identifikation eines Teilnehmers ermöglichen, außer die betroffene Person stimmt ausdrücklich zu.
Als dritten und letzten Punkt sollen Forschungen im Rahmen des Bug-Bounty-Programms andere Richtlinien von GitHub-Seiten aushebeln. Setzt ein Nutzer beispielsweise Reverse Engineering auf der Fehlersuche an, darf er die Restriktionen des GitHub Enterprise Agreement im Bezug auf Reverse Engineering ignorieren.
Wer am Programm teilnehmen möchte, findet auf der offiziellen Website die Teilnahmebedingungen und weiterführende Informationen. (bbo)
