Werde Teil des Bug-Resilience-Programms und erhalte Unterstützung beim Schwachstellenmanagement!
Von Tara Tarakiyee
Das Bug-Resilience-Programm stärkt die Widerstandsfähigkeit kritischer, freier und quelloffener Software-Infrastrukturen gegen Schwachstellen. Wir nehmen ab sofort laufend Bewerbungen für die Nutzung der im Rahmen des Programms angebotenen Dienste entgegen.
Ab sofort können Bewerbungen für das Bug-Resilience-Programm (BRP) eingereicht werden, welches die Widerstandsfähigkeit kritischer Open-Source-Software-Infrastrukturen (FOSS) gegen Sicherheitslücken stärkt. Dieses Programm ist eine optimale Gelegenheit für FOSS-Mitwirkende und Maintainer*innen, Unterstützung beim Umgang mit Schwachstellen in kritischen FOSS-Projekten zu erhalten.
Was ist das Bug-Resilience-Programm?
Unser Leben hängt stark von der digitalen Infrastruktur ab, oft, ohne dass wir es merken, bis Probleme auftreten. Unentdeckte Schwachstellen in kritischen FOSS-Infrastrukturen, wie im Fall von Heartbleed und Log4Shell, haben zu erheblichen Störungen und Schäden in großem Umfang geführt. Ein sorgfältiges Schwachstellenmanagement kann dazu beitragen, die Auswirkungen, die Anzahl und das Ausmaß solcher Schwachstellen zu verringern, erfordert jedoch Zeit und Aufwand, den die Maintainer*innen der Infrastrukturprojekte unter Umständen nicht leisten können.
Das Bug-Resilience-Programm wurde auf der Grundlage des Feedbacks von Expert*innen und FOSS-Infrastrukturprojekten konzipiert und im Jahr 2023 ins Leben gerufen. Es bringt kritische FOSS-Projekte mit dem Fachwissen von unseren Implementierungspartnern zusammen, um das Management von Schwachstellen in unserer kritischen Infrastruktur zu unterstützen. Das Programm ist zugänglich für offene digitale Infrastrukturtechnologien, wie z. B. Bibliotheken und Standards, die frei zugänglich und kostenlos zu nutzen sind.
Das BRP basiert auf einem ganzheitlichen und präventiven Ansatz zum Schwachstellenmanagement, der darauf abzielt, die Widerstandsfähigkeit von FOSS-Projekten gegenüber potenziellen Schwachstellen zu erhöhen. Durch die Unterstützung von Aktivitäten wie dem Abbau technischer Schulden (Umstrukturierung des Codes, damit er leichter gewartet werden kann) trägt das BRP dazu bei, die Kapazitäten der Maintainer*innen zu erhöhen, auf Bugs zu reagieren. Die Verbesserung der Kapazitäten der Maintainer*innen, auf Bugs zu reagieren und diese zu beheben, führt dazu, dass einfachere Bugs behoben oder zumindest zur Kenntnis genommen werden. Die Verbindung mit einem Bug-Bounty-Programm oder einem Code-Audit ermöglicht es Sicherheitsforscher*innen, sich auf die Entdeckung schwierigerer Schwachstellen zu konzentrieren und so die Wirksamkeit solcher Programme zu maximieren.
Welche Dienstleistungen bietet das BRP für FOSS-Infrastrukturtechnologien an?
Derzeit stellt das BRP drei Dienstleistungen für FOSS-Infrastrukturprojekte zur Verfügung.
1. Direkte Mitwirkung
Unser Partner Neighbourhoodie Software hilft den teilnehmenden Projekten auf verschiedene Art und Weise, bekannte Probleme zu beheben, die Dokumentation zu verbessern und technische Schulden zu reduzieren. Viele Maintainer*innen von FOSS sind sich Schwachstellen bewusst, haben aber nicht die Kapazität, sie zu beseitigen. Die Verbesserung der Dokumentation und der Abbau der technischen Schulden erhöhen die Qualität von externen Beiträgen und helfen Maintainer*innen, sich auf Sicherheitsverbesserungen zu konzentrieren.
2. Bug- und Fix-Bounty-Plattform
In Zusammenarbeit mit YesWeHack bietet das BRP Bounty-Programme für ausgewählte OSS-Projekte an. Diese Programme bieten Anreize für die Entdeckung von Schwachstellen und entschädigen Projekte für die Zeit, die sie für die Behebung dieser Fehler aufwenden. YesWeHack bietet Zugang zu Sicherheitsforscher*innen und hilft bei der Erstpriorisierung und Verifizierung von Schwachstellenberichten. BRP bietet auch „Fix“-Prämien für jede korrekt gemeldete und behobene Schwachstelle an, um sicherzustellen, dass die teilnehmenden Projekte immer die Kapazität haben, sich mit neuen Problemen zu befassen.
3. Sichere Code-Audits
In Zusammenarbeit mit dem Open Source Technology Improvement Fund bietet das BRP Sicherheitsüberprüfungen für kritische Softwarekomponenten wie cURL, Jackson und LLVM an. Diese Prüfungen helfen den Maintainer*innen, die Sicherheitslage ihres Codes proaktiv zu bewerten und risikoreiche Schwachstellen zu beseitigen, bevor sie ausgenutzt werden können. Aufgrund von Budgetbeschränkungen bieten wir Sicherheitsaudits nur einer begrenzten Anzahl von teilnehmenden Projekten an, wo es am sinnvollsten ist.
Wie kann man sich bewerben?
Das Bug-Resilience-Programm sucht speziell nach Bewerber*innen aus kritischen FOSS-Infrastrukturen. Auf unserer Seite findest du ausführliche Informationen zum Bewerbungsverfahren und zu den Kriterien für die Aufnahme in das Programm.
Wir prüfen die Bewerbungen laufend, und Bewerbungen, die die Kriterien erfüllen, werden nach dem Prinzip „first-come, first-serve“ zur Teilnahme eingeladen.
Mach mit, um Software sicherer zu machen
Mit der Teilnahme am Bug-Resilience-Programm trägt man dazu bei, sichere und widerstandsfähige Softwaresysteme zu schaffen. Bewirb dich jetzt und unterstütze uns bei unserer Mission, die Widerstandsfähigkeit und Sicherheit von Software zu verbessern. Für weitere Informationen sind wir über folgende E-Mail zu erreichen: info@bugresilience.de.
Interessiert als Geldgeberin oder als Expertin für Schwachstellenmanagement mitzuwirken? Um mit dem BRP zusammenarbeiten, sendet uns sehr gerne eine E-Mail an partnerships@bugresilience.de
Wir freuen uns auf jede Bewerbung und darauf, gemeinsam eine sicherere digitale Welt zu schaffen!