Google weitet Belohnungsprogramm für Open-Source-Projekte aus

Google weitet sein Patch Reward Program auf viele wichtige Open-Source-Projekte aus. Ab sofort können Entwickler Prämien für sicherheitsrelevante Verbesserungen bei Android, den wichtigsten Web- und E-Mail-Servern, sowie OpenVPN und weiteren Projekte beantragen. Google hatte die Initiative im Oktober ins Leben gerufen.

Anders als bei den Bug-Bounty-Programmen will Google hier nicht Angreifer belohnen, die ausnutzbare Sicherheitslücken finden, sondern Entwickler, die die Verteidigung direkt stärken und so das Ausnutzen von Sicherheitslücken erschweren. So sollen signifikante, strukturelle Verbesserungen etwa des Speichermanagements oder die Härtung der Rechteverwaltung von Programmen belohnt werden. Auch einen systematischer Ansatz zur Vermeidung von Race Conditions führt Google als Beispiel an. Die Prämien rangieren zwischen 500 und 3.133,7 US-Dollar.

Neben den freien Komponenten von Android können Entwickler nun auch für Verbesserungen in den Web-Servern Apache, Nginx und lighttpd (auch "lighty" genannt) belohnt werden. Mit Sendmail, Postfix, Exim und Dovecot sind fast alle unter Unix gebräuchlichen E-Mail-Server vertreten. Aber auch der NTPD-Dienst der Universität von Delaware, die GNU Compiler Collection (GCC), das LLVM-Projekt, OpenSSH, OpenVPN, OpenSSL und eine Reihe von wichtigen Software-Bibliotheken zählen zu den geförderten Open-Source-Projekten.

Dabei sollen die Verbesserungen nicht bei Google selbst, sondern direkt bei den entsprechenden Projekten eingereicht werden. Akzeptierte Patches können die Entwickler dann bei security-patches@google.com melden und Google entscheidet, wie hoch eine eventuelle Prämie ausfällt. Mehr organisatorische Informationen und eine kurze FAQ zum Patch Reward Program hält Google auf seinen Application-Security-Seiten bereit. (fab)