Suchen

Neues zum „GitHub Security Bug Bounty“-Programm Mehr CodeQL-Abfragen und CVE-Einträge

Redakteur: Stephan Augsten

Nicht weniger als sechs Jahre besteht mittlerweile das Bug-Bounty-Programm von GitHub. Einige interessante Informationen zu aktuellen Meilensteinen sowie zur Zukunft der Kopfgeldjagd auf GitHub hat der Code-Hoster jetzt bekanntgegeben.

Firmen zum Thema

Binnen eines Jahres ist die Zahl der Einreichungen für das Bug-Bounty-Programm von GitHub um 40 Prozent gestiegen.
Binnen eines Jahres ist die Zahl der Einreichungen für das Bug-Bounty-Programm von GitHub um 40 Prozent gestiegen.
(Bild: GitHub)

Im Februar 2020 feierte das Bug-Bounty-Programm von GitHub sechsjähriges Jubiläum, seit 2016 ist es Bestandteil der Plattform HackerOne. Kürzlich erst war dann der Punkt erreicht, an dem sich die Prämien für Sicherheitsforscher und Entwickler auf insgesamt 1.000.000 US-Dollar summierten. Mehr als die Hälfte der gesamten Auszahlungen, etwa 590.000 Dollar, kamen allein 2019 zusammen.

Die Gesamtzahl der Schwachstellen-Meldungen bzw. -Einreichungen stieg dabei binnen eines Jahres um 40 Prozent. Trotzdem habe man – mit Blick auf eine durchschnittliche Reaktionszeit von 17 Stunden – schnell reagieren können, schreibt Security Engineer Brian Anglin im GitHub-Blog. Neben einigen Highlights des vergangenen Jahres stellte er auch die Zukunftspläne für das Prämienprogramm vor.

„Wir haben das Bug-Bounty-Programm des GitHub Security Lab gestartet, um Forscher zu motivieren, uns bei der Sicherung von Open-Source-Software zu unterstützen“, unterstreicht Anglin. Das neue Programm belohne insbesondere die Community-Mitglieder, die CodeQL-Abfragen schreiben, die ganze Schwachstellenklassen erkennen.

Die semantische Code-Analyse-Engine CodeQL findet sich im GitHub SecurityLab und ist als Plug-in für Visual Studio Code erhältlich. Dank automatisierter Variantenanalyse ist es möglich, dass andere GitHub-Nutzer die geteilten Abfragen gegen eigene Projekte ausführen können. So ist es möglich, Schwachstellen in großem Umfang zu beseitigen. 20 entsprechende Einsendungen wurden bislang mit knapp 21.000 Dollar honoriert, hunderte Schwachstellen konnten laut Anglin im gesamten OSS-Ökosystem behoben werden.

CVEs und Offenlegung

Bug-Einreichungen, die den GitHub Enterprise Server betreffen, werden ab diesem Jahr auch in der öffentlichen CVE-Liste (Common Vulnerabilities and Exposures) geführt. Anglin spricht von einem „Schritt vorwärts bei der konsequenten Kommunikation des Zustands unserer Software an unsere Kunden“. Gleichzeitig sei das Aufdecken solcher Schwachstellen in GitHub Enterprise Server eine Auszeichnung für Sicherheitsforscher.

Interessierte können sich auf der Landing Page zum „GitHub Security Bug Bounty“ über dessen Umfang, Regeln und Belohnungen informieren.

(ID:46484491)