Die Jagd nach den Bugs

GitHub zahlt 95.000 US-Dollar an Bug-Jäger aus

Melanie Feldmann

© Shutterstock / Willrow Hood

Kein Code ist perfekt. Das wissen auch die Entwickler bei GitHub und haben deswegen vor zwei Jahren ein eigenes Bug-Bounty-Programm ins Leben gerufen. Sie stopften daraufhin 102 Schwachstellen und zahlten 95.300 US-Dollar an 58 Bug-Jäger aus.

Insgesamt kamen 7.050 Einreichungen zusammen, davon untersuchte das Security-Team 1.772. Bei den gefixten Schwachstellen handelte es sich vor allem um welche mit mittlerem bis hohem Risiko. Insgesamt reichten die Schwachstellen aber über die gesamte Bandbreite der OWASP Top Ten. Pro Bug gibt es bei GitHub in der Regel 100 bis 5.000 US-Dollar, je nachdem wie hoch das wirkliche Risiko ist und wie  groß die Auswirkungen auf die Anwender sein könnten.

Dabei waren die Bugs nicht immer die Schuld der GitHub-Entwickler. Ein Bug war eine Browser-Schwachstelle, die dafür sorgte, dass GitHub-Cookies an andere Domains gesendet wurden. Ein weiterer Browser-Bug ermöglichte, dass die JavaScript-Same-Origin-Checks umgangen werden konnten. GitHub sorgte dafür, dass die Schwachstellen geschlossen wurden, bevor die Browser-Hersteller selbst die Fehler behoben. Ein Bug-Report zeigte, dass einige RSA-Schlüssel-Generatoren SSH-Schlüssel produzierten, die einfach in Faktoren zu zerlegen waren. Daraufhin fand GitHub 309 schwache RSA-Schlüssel, die das Security-Team aus dem Verkehr zog. Jetzt werden alle Schlüssel noch einmal extra geprüft.

Im ersten Jahr fanden die Bug-Jäger vor allem Fehler im Web Service. 2015 kamen mehr Schwachstellen in den Desktop Apps auf. So gab es eine Schwachstelle, die bei GitHub für Macs dafür sorgte, dass es möglich war, Code remote auszuführen. Auch GitHub für Windows litt unter einer ähnlichen Schwachstelle, ebenso im Git Large File Storage.

Wer jetzt Lust bekommen hat, selbst auf Bug-Jagd zu gehen, kann hier einen Bug melden. Und natürlich gibt es auch eine Rangliste der besten Jäger.

Aufmacherbild: Star Wars figure of Boba Fett on a beach von Shutterstock / Urheberrecht: Willrow Hood

Verwandte Themen:

Geschrieben von
Melanie Feldmann
Melanie Feldmann
Melanie Feldmann ist seit 2015 Redakteurin beim Java Magazin und JAXenter. Sie hat Technikjournalismus an der Hochschule Bonn-Rhein-Sieg studiert. Ihre Themenschwerpunkte sind IoT und Industrie 4.0.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: