Videos, Highlights, und Insights unseres Bug Bounties und FOSS Event 2024

Das Sovereign Tech Resilience-Programm verfolgt einen präventiven Ansatz zum Schutz kritischer digitaler Infrastruktur. Dafür arbeiten wir mit Industrie-Partnern zusammen, um Open-Source-Projekten und ihren Maintainer*innen Dienstleistungen zur Schwachstellenverwaltung anzubieten. Das Ziel ist es, das Risiko von Sicherheitslücken zu verringern und die Fähigkeit der Projekte zu verbessern, auf entdeckte Schwachstellen zu reagieren. Das Programm bietet eine Vielzahl von Services für offene, digitale Infrastrukturprojekte, wie zum Beispiel die Unterstützung bei der Reduzierung von technischem Schulden, die Arbeit an bekannten Sicherheitslücken, die Durchführung von Code-Sicherheitsprüfungen zur Minderung von Hochrisiko-Schwachstellen und die Bereitstellung einer Bug- und Fix-Bounty-Plattform zum Entdecken, verantwortungsvollen Melden und Beheben von Schwachstellen.

Freie und Open-Source-Software (FOSS) bildet die Grundlage moderner digitaler Infrastruktur, doch viele Projekte sind auf kleine, schlecht ausgestattete Teams angewiesen, was sie anfällig für Sicherheitsrisiken macht. Öffentliche Investitionen und strukturierte Programme wie Sovereign Tech Resilience sind entscheidend, um diese Herausforderungen zu bewältigen und die digitale Resilienz zu stärken.

Der erste Keynote-Speaker, Maik Außendorf, MdB, Bündnis 90/Die Grünen, ein Linux-Nutzer seit 1994 und ehemaliger Berater für Linux-basierte Open-Source-Lösungen, brachte diese Punkte in seiner Rede zur Sprache. Er setzt sich stark für digitale Souveränität und Resilienz auf sowohl der Hardware- als auch der Softwareseite ein. In seinem Vortrag betonte er die Bedeutung öffentlicher Vorzeigeorganisationen, die Open-Source-Projekte aktiv unterstützen, Vertrauen in die Nutzung von Open-Source-Lösungen schaffen und eine nachhaltige Finanzierung für solche Initiativen sichern.

Maik Außendorf äußerte zudem die Hoffnung, dass die Sovereign Tech Agency auf internationaler Ebene ein Beispiel setzen kann, wie öffentliche Investitionen und Führung ein widerstandsfähigeres und souveräneres digitales Ökosystem fördern können.

Bug-Bounty-Programme werden seit langem von der Industrie genutzt, um die Meldung gefährlicher Sicherheitslücken in Software zu fördern. Doch wie effektiv sind sie dabei, unsere kritische Open-Source-Infrastruktur sicherer zu machen? Im Rahmen des Sovereign Tech Resilience-Programm, haben wir Dr. Ryan Ellis von der Northeastern University mit dieser Frage und einer einhergehenden Forschungsarbeit beauftragt, die er auf unserer Veranstaltung präsentierte.

Der Forschungsbericht ergab, dass Bug-Bounty-Programme zwar die Sicherheit von freien Open-Source-Softwareprojekten verbessern können, sie können aber auch andere Wirkungen hervorrufen, wenn die zugrunde liegende Software bereits schlecht gewartet wird. Der Forschungsbericht bestätigte auch einige Designentscheidungen, die die Sovereign Tech Agency bei der Umsetzung des Sovereign Tech Resilience-Programms getroffen hat, wie etwa die Investition in präventive Wartung und die Entlohnung der Maintainer*innen für ihre Zeit. Dies kann helfen, dem wahrgenommenen Trend sinkender Contributions in verschiedenen Open-Source-Projekten entgegenzuwirken. In dem Bericht wurden auch einige andere Vorteile von Bug-Bounty-Programmen erörtert, wie z. B. ihr Nutzen bei der Steuerung der Aufmerksamkeit auf Projekte und wie sie die Identifizierung von Schwachstellen beschleunigen.

Weiter unten findet ihr die ihr Videoaufzeichnung dazu.

Zum Forschungsbericht in Englisch

Zum Forschungsbericht in Deutsch

Die Highlights der Sovereign Tech Resilience-Veranstaltung sind nun verfügbar! Die Videos der Keynotes und des Panels können auf Vimeo abgerufen werden. Die Videos bieten wertvolle Einblicke in die Herausforderungen und Chancen von Bug Bounties und FOSS, die von unseren Expert*innen und Gastredner*innen geteilt wurden.

Keynotes und Gastbeiträge

Panel Diskussion: "Die Rolle des öffentlichen Sektors in öffentlichen Bug-Bounty-Programmen"

Für die Veranstaltung wurden Expert*innen eingeladen, um sich in einer Panel Diskussion dem Thema „Die Rolle des öffentlichen Sektors in öffentlichen Bug-Bounty-Programmen“ zu widmen. Dabei wurden die Risiken und Chancen öffentlich finanzierter Sicherheitsmaßnahmen für Open-Source-Projekte beleuchtet, basierend auf den zentralen Erkenntnissen aus Dr. Ellis’ Bericht. Neben Dr. Ellis nahmen Amir Montazery von OSTIF, Yona Raekow vom BSI und Dr. Aïmad Berady von YesWeHack an der Diskussion teil. Die Panel Diskussion bot den Teilnehmenden die Gelegenheit, Einblicke und Perspektiven von Expert*innen zu den Ergebnissen des Berichts zu erhalten. Moderiert wurde die Runde von Tara Tarakiyee, Technologist in der Sovereign Tech Agency.

Wir suchen eine erfahrene und innovative Cybersecurity Programm-Leitung, um das Sovereign Tech Resilience Programm zu leiten, auszubauen und zu skalieren.

Die Sovereign Tech Agency hat 2023 das Sovereign Tech Resilience-Programm initiiert, um die Sicherheit kritischer Open-Source-Projekte zu verbessern. Das Programm besteht aktuell aus drei Komponenten: dem Abbau von technischen Schulden, der Durchführung von Sicherheitsaudits und einem Bug- und Fix-Bounty-System, das Resilienz-Kultur fördert. Das Programm stärkt die Widerstandsfähigkeit der Gesellschaft, indem es die Zuverlässigkeit und Sicherheit kritischer Open-Source-Software verbessert, die das Fundament der modernen digitalen Infrastruktur darstellt. Das Sovereign Tech Resilience unterstützt aktiv die Open Source Communitys und arbeitet kollaborativ mit ihnen zusammen.

Als Cybersecurity-Programm-Leitung wirst Du den täglichen Betrieb des Programms organisieren, seine Wirksamkeit erweitern und Beziehungen zu globalen Open Source Communitys und Sicherheitsforscher*innen aufbauen.

Job Angebot: Cybersecurity Programm-Leitung