Sie hacken wieder!

GitHub Security Bug Bounty knackt die 1.000.000$-Marke

Jean Kiltz

© Shutterstock / Piotr Swat

Das Bug-Bounty-Hunter-Projekt von GitHub hat im sechsten Jahr seiner Initialisierung die Marke von 1.000.000$ an Kopfgeldern gerissen. Allein für das Jahr 2019 wurden 519.000$ an Hacker ausgezahlt, die auf von GitHub unterstützten Seiten Schwachstellen aufdecken konnten.

Im letzten Jahr gab GitHub einige neue Bereiche frei, in der Hacker für Belohnungen nach Bugs suchen durften. Darunter sind vor allem aktuelle Programmentwicklungen des Unternehmens selbst. So zum Beispiel die gerade erst offiziell veröffentliche GitHub Mobile App oder auch GitHub Actions. Für diesen gesamten erweiterten Bereich aus 2019 wurden allerdings nur etwas mehr als 20.000$ ausgezahlt. GitHub scheint also entweder sehr gut an der Sicherheit dieser Anwendungen gearbeitet zu haben oder die Hacker sind einfach noch nicht dazu gekommen, diese anzugreifen.

Ein weiteres Highlight 2019 war das H1-702-Event in Las Vegas: Eine Veranstaltung, bei der der Softwarekonzern – zusammen mit zwei anderen Firmen – Hacker von der Plattform HackerOne herausgefordert hat, in die GitHub-Systeme einzubrechen. Das Ganze wurde – wie auch das Bug-Bounty-Hunter-Projekt – mit spieleähnlichen Achievements untermalt.

Ausblick

Für das Jahr 2020 hat sich das Unternehmen ähnliche Projekte einfallen lassen. So wird es ein „GitHub Security Lab Bounty Program“ geben. In diesem soll speziell Open-Source-Software auf Fehler, Bugs und Schwachstellen mittels CodeQL Queries getestet werden. Davon erhofft sich GitHub eine großflächige Entdeckung und Behebung von Bugs aus allen Systemen. Auch dieses Projekt wird natürlich wieder mit Kopfgeldern unterstützt und die ersten 21.000$ sind bereits ausgezahlt worden.

Zusätzlich sollen dieses Jahr noch Prämien auf Schwachstellen ausgesetzt werden, die sich womöglich speziell auf den Enterprise-Servern von GitHub finden lassen. Für jede gefundene Sicherheitsschwachstelle weist das Entwicklerunternehmen CVEs zu. Dadurch soll die Transparenz gegenüber Kunden über den Zustand der Software erhöht und verstetigt werden.

Wer sich die Ereignisse des letzten Jahres ansehen möchte, kann sich hier den Blog-Eintrag auf GitHub durchlesen. Für alle, die selbst an dem Bounty-Hunter-Projekt teilnehmen wollen, können wir nur die Webpage „GitHub Security Bug Bounty“ empfehlen.

Geschrieben von
Jean Kiltz
Jean Kiltz ist seit März 2020 Redakteur bei Software & Support Media. Er hat Geschichte und Kulturanthropologie an der Johannes Gutenberg-Universität Mainz studiert. Danach war er beim ZDF als First-Level-IT-Support angestellt.
Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: