Bug Bounty

Kopfgeld für Drupal Fehler: EU erweitert Fossa Bug-Bounty-Programm

Die EU erweitert ihr Bug-Bounty-Programm. Insgesamt stehen rund 900.000€ für 15 Projekte zur Verfügung – darunter auch Drupal.

Das Projekt “Free and Open Source Software Auditing” (Fossa) der EU startete Anfang diesen Jahres in seine dritte Runde. Im Gepäck: Budgets für 15 Bug-Bounty-Programme, darunter auch 89.000€ für Drupal. Unabhängige Forscher und Entwickler sind aufgerufen, Sicherheitslücken zu identifizieren und zu übermitteln. Dafür können zwischen 350€ und 15.000 € „Kopfgeld“ pro Sicherheitslücke ausgezahlt werden – je nach Schwere und Relevanz des Problems.

Neben Drupal sind unter anderem auch Filezilla, Notepad++, Putty, VLC-Player, 7-Zip, PHP Symfony oder die Glibc Bibliothek ausgeschrieben. Die Bug-Bountys werden entweder über die Plattform HackerOne oder über Intigriti abgewickelt.

Bug-Bounty-Programm für Drupal

Das Bug-Bounty für Drupal wird vom Drupal Security Team auf der Bug-Bounty-Platform Intigriti gesteuert.

abgedeckt sind. Darunter sind zum Beispiel: Drupal Commerce, Colorbox, Ctools, Display Suite, Google Analytics, Backup Migrate.

und viele mehr...

Das Bug-Bounty-Programm gilt nur für Drupal Core und Contrib. Module, nicht für eigene Module oder selbst gehostete Websites.

Kann jeder teilnehmen? Welche Regeln gibt es?

Bestimmte Personen sind vom Bug-Bounty Programm ausgeschlossen. Dazu gehören Projektverantwortliche (Maintainer von Modulen, Themes, etc) oder Personen, die zu einem beträchtlichen Teil an einem Projekt mitwirken. Dies gilt nicht für Drupal Core.

Außerdem dürfen keine Bugs reportet werden, die vom Reporter selbst erstellt wurden. (Diese können natürlich über den normalen Prozess berichtet werden.)

Um die Auszahlung für das erfolgreiche Reporting einer Sicherheitslücke zu erhalten, muss der Reporter einen Account auf www.drupal.org besitzen.

Teammitglieder, die an der Verwaltung dieses Programms und/oder seiner Mittel beteiligt sind, haben keinen Anspruch auf Auszahlungen im Rahmen des Programms.

Das Bug-Bounty Programm ist zudem nur gültig für neue Sicherheitslücken, die nach dem 29.01.2019 reportet werden. (Doppelte Berichte über laufende Probleme, die dem Sicherheitsteam bereits bekannt sind, können möglicherweise nicht für eine Zahlung in Betracht gezogen werden.)

Weitere Details und der genaue Ablauf sind auf der Intigriti Projektseite zu finden: https://www.intigriti.com/public/project/drupal/drupal

Das Bug-Bounty Programm für Drupal läuft bis 15.10.2020.

Was ist EU-Fossa?

Das Projekt Free and Open Source Software Auditing der EU (EU-Fossa) wurde als direkte Reaktion auf die als „Heartbleed“ bekannt gewordene Sicherheitslücke in OpenSSL im Jahre 2014 gegründet. Ziel von Fossa ist die Verbesserung der Sicherheit wichtiger und vielfach genutzter Open-Source-Software. So wurden im Rahmen Projektes bereits Code-Audits des Apache-Web-Servers und des Passwortmanagers Keepass durchgeführt. Anschließend wurde das Projekt 2017 für 3 weitere Jahre verlängert. Dabei wurden erstmals mit Mitteln der EU auch Bug-Bounty-Programme ausgeschrieben.

Was ist ein Bug-Bounty-Programm?

In der Industrie entstanden, verfolgen Bug Bounty-Programme den Ansatz „nobody’s perfect“:  Die Programme sollen unbeteiligte Dritte anregen, Sicherheitslücken in der Software aufzudecken und diese mit den Entwicklern der Software zu teilen.

Als Finderlohn einer offengelegten Schwachstelle erwartet den sogenannten „Researcher“ ein attraktives Preisgeld, welches in Relation zu der Schwere des Fehlers und dessen Bedeutung für die Funktionalität der Software festgesetzt wird.

Dank Bug-Bounty-Programmen können nicht nur kritische Sicherheitslücken aufgedeckt, sondern auch neue qualitative Niveaus in der Software-Entwicklung erzielt werden. Sie sind inzwischen Bestandteil der Sicherheitsstrategie vieler (Software-)Firmen und öffentlicher Institutionen.

Sylvia Jensen, VP Marketing, EMEA
Sylvia Jensen, vice president of EMEA marketing, Acquia

Sylvia Jensen

VP, EMEA-Marketing Acquia

Sylvia Jensen ist Vice President EMEA-Marketing für Acquia. In dieser Position ist sie verantwortlich für die Erstellung einer Marketingstrategie und eines Ausführungsplans, um das Wachstum von Acquia in wichtigen Märkten mithilfe von datengetriebenen Erkenntnissen zu beschleunigen.

In den letzten 20 Jahren war Sylvie in verschiedenen Marketingrollen für Technologieunternehmen tätig, z. B. für Marketing Cloud, Eloqua, Coremetrics, WebEx und Palm. Sie genießt die Kunst und Wissenschaft, die die Marketreibenden bei der Entwicklung, Bereitstellung und Verwaltung erstaunlicher digitaler Kundenerlebnisse täglich nutzen.

Sylvia hat einen Bachelor-Abschluss in politischer Ökonomie von der University of California in Berkeley und einen Master-Abschluss in International Business von der University of California in San Diego. Folge Sylvia auf Twitter @smajensen .