Bewerbungen offen
Sovereign Tech Resilience
Das Sovereign Tech Resilience Programm (ehemals Bug-Resilience-Programm) besteht derzeit aus drei Komponenten:
- Direkte Mitwirkung bei FOSS-Projekten
- Eine Bug- und Fix-Bounty-Plattform
- Die Überprüfung von Codesicherheit
Unentdeckte Sicherheitslücken in FOSS-Infrastrukturprojekten wie Heartbleed (2014), Apache Struts Remote Code Execution (Equifax Breach, 2017) und Log4Shell (2022) haben Millionen von Menschen betroffen. Bug Bountys und Code Audits sind beliebte Ansätze, um Anreize für das Auffinden von Schwachstellen in Software zu schaffen und um Sicherheitsforschende anzuerkennen und zu belohnen.
Für kleinere Open-Source-Projekte können die Anreize von klassischen Bug-Bounty-Modellen mit einigen Problemen einhergehen. Viele Open-Source-Projekte haben nur begrenzt Zeit und Ressourcen und sind auf ihre ehrenamtlichen Communitys angewiesen, um die auf diese Weise entdeckten Schwachstellen zu beheben. Häufig gibt es sogar einen Rückstau an bekannten Problemen, der die Kapazität der Projekte beeinträchtigt, den Quellcode effektiv zu pflegen (Ellis, R et al., 2022). Darüber hinaus gibt es bereits mehrere Bug-Bounty-Programme, die dieselbe Spanne von Projekten abdecken, in die die Sovereign Tech Agency investiert. Forschende haben gezeigt, dass sich überschneidende Bug-Bounty-Programme immer weniger lohnen und sogar negative Auswirkungen auf bestehende Programme haben können.
Auf dieser Seite:
Bug-Bounty-Programme und Code Audits
Bug-Bounty-Programme und Code Audits sind beides wichtige Ansätze, um die Sicherheit von Software zu verbessern und sie widerstandsfähiger gegenüber Schwachstellen zu machen. Mit ihnen können potenzielle Sicherheitsrisiken in Software-Codebasen überwacht und aufdeckt werden. Bei Bug-Bounty-Programmen werden externe Sicherheitsforscher*innen eingeladen, Software zu analysieren und Sicherheitslücken zu identifizieren und zu melden, wofür sie finanzielle Belohnungen (sogenannte Bounties) erhalten.
Ein Code Audit beinhaltet eine gründliche Untersuchung des Quellcodes durch Sicherheitsexpert*innen, entweder manuell oder mit automatisierten Tools, um Sicherheitsschwachstellen zu identifizieren und zu beheben. Diese Audits variieren in ihrem Umfang und ihrer Breite, können z. B. die Analyse der Logik, des Designs und/oder der Implementierung des Codes beinhalten, um eine robuste und sichere Softwarekomponente zu gewährleisten.
Bug-Bounty-Programme motivieren und belohnen vielfältige externe Sicherheitsfachleute, um Schwachstellen in realen Szenarien über einen längeren Zeitraum hinweg zu erforschen. Code Audits bieten eine systematische, gründliche Untersuchung, um potenzielle Sicherheitsprobleme innerhalb der Software zu einem bestimmten Zeitpunkt zu identifizieren und zu beheben. Sowohl Bug-Bounty-Programme als auch Code-Audits spielen, wenn sie strategisch eingesetzt werden, eine wichtige Rolle bei der proaktiven Verwaltung und Verbesserung der Sicherheitslage von Software.
Unser Ansatz: Resilient, reaktionsfähig und verantwortungsbewusst
Basierend auf dem Feedback von Expert*innen und FOSS-Infrastrukturprojekten sowie aktuelle Forschungsergebnissen hat die Sovereign Tech Agency einen holistischen und präventiven Ansatz entwickelt, um die Widerstandsfähigkeit von FOSS-Projekten gegenüber potenziellen Sicherheitslücken zu erhöhen. Durch die Reduzierung der technischen Schulden - zum Beispiel durch die Umstrukturierung des Codes, damit er leichter gewartet werden kann - trägt BRP dazu bei, dass die Maintainer*innen besser auf Bugs reagieren können. Die Verbesserung der Reaktions- und Lösungsfähigkeit der Maintainer*innen führt wiederum dazu, dass einfachere Bugs behoben bzw. zur Kenntnis genommen werden. So können Sicherheitsforscher*innen sich auf Schwachstellen konzentrieren, die bisher durch Bounties und Audits schwieriger zu finden waren.
Hier ist ein Überblick über die aktuellen Bestandteile des Sovereign Tech Resilience Programms.
Direkte Mitwirkung
Unsere Umsetzungspartnerin Neighbourhoodie Software unterstützt die teilnehmenden Projekte direkt mit verschiedenen Beiträgen, um bekannte Fehler zu beheben, die Dokumentation zu verbessern und technische Schulden zu reduzieren. Sehr oft wissen Maintainer*innen von FOSS-Projekten, dass bestimmte Teile der kritischen Technologien, an denen sie arbeiten, Schwachstellen oder Sicherheitsmängel enthalten. Die Maintainer*innen haben einfach noch nicht die Kapazität, sich damit zu befassen, oder können sie nur mit provisorischen Lösungen beheben. Außerdem häufen sich bei Softwareprojekten mit der Zeit technische Schulden an, was die Wartung der Software erschwert und mehr Möglichkeiten für Schwachstellen schafft. Nicht zuletzt können eine konsistente und fachgerechte Dokumentation und entsprechende Anleitungen dazu beitragen, die Qualität externer Beiträge zu verbessern und die Einstiegshürde für Mitwirkende zu senken, die Sicherheitsverbesserungen für FOSS-Projekte vorschlagen können.
Bug- und Fix-Bounty-Plattform
Wir arbeiten mit der YesWeHack-Plattform zusammen, um ausgewählten FOSS-Projekten Bounty-Programme zur Verfügung zu stellen, die Anreize für das Aufdecken von Sicherheitslücken im Code bieten und die Projekte für die Zeit entschädigen, die sie für die Behebung dieser Probleme aufwenden. YesWeHack unterstützt die Projekte dabei, den Kontakt zu Sicherheitsforscher*innen herzustellen. YesWeHack hilft auch bei der Erstpriorisierung und Überprüfung der von Forschenden eingereichten Schwachstellenberichte. Für jede korrekt gemeldete und behobene Schwachstelle bietet die Sovereign Tech Agency den teilnehmenden Projekten eine „Fix“-Prämie.
Code Audits zur Reduzierung hochriskanter Schwachstellen
Durch eine Partnerschaft mit dem Open Source Technology Improvement Fund bietet die Sovereign Tech Agency Sicherheitsüberprüfungen für häufig genutzte Softwarekomponenten an. Diese Softwarekomponenten benötigen einen hohen Sicherheitsstandard, um die Wahrscheinlichkeit unentdeckter Schwachstellen mit großer Wirkung und hohem Risiko in kritischen Infrastrukturen zu verringern. Sorgfältig durchgeführte Code Audits für kritische Open-Source-Software können den Maintainer*innen wertvolle Erkenntnisse liefern und ihnen helfen, die Sicherheitslage ihres Codes und ihrer Infrastruktur proaktiv zu evaluieren. Die Verbesserung von Tests und Codeabdeckung stärkt die Nachhaltigkeit und das Weiterbestehen von Projekten und versetzt Maintainer*innen in die Lage, Mängel zu beheben, bevor sie ausgenutzt werden.
Bewerbungsverfahren
Lese bitte die Kriterien sorgfältig, bevor du einen Antrag stellst.
Sovereign Tech Resilience Kriterien
Richte dir einen Account ein, um einen Antrag bei uns einzureichen. Bitte beachte, dass du nur dann eine Eingangsbestätigung deines Antrags von uns bekommen wirst, wenn du der Option, E-Mails oder SMS von uns zu erhalten, bei der Registrierung zugestimmt hast. Änderst du dies nach deiner Registrierung in den Einstellungen, betrifft es nur zukünftige Nachrichten von uns, wie z. B. Zu- oder Absagen.
Die eingegangenen Anträge werden laufend evaluiert und auf Übereinstimmung mit unseren Kriterien und den aktuell angebotenen Dienstleistungen geprüft. Den Empfang deines Antrags bestätigen wir.
Projekte, die wir nicht in das Sovereign Tech Resilience Programm aufnehmen können, bekommen eine Absage von uns. Bei Projekten, denen wir Unterstützung anbieten können, bekommen eine Einladung und werden auf eine Aufnahme- bzw. Warteliste gesetzt, basierend auf die im Antrag ausgewählten Dienstleistungen. Alle Bewerbungen, die die Kriterien erfüllen, werden nach dem Prinzip „first-come, first-serve“ zur Teilnahme am BRP eingeladen.
Vorlage des Antragsformulars herunterladen (PDF)
Bei technischen Problemen bei der Antragserstellung wende dich an support@sovereigntechfund.de
Bug-Bounty-Studie
Zusätzlich zu diesen Aktivitäten hat die Sovereign Tech Agency eine Studie in Auftrag gegeben, um die Chancen und Risiken zu untersuchen, die mit der Integration von Bug-Bounty-Programmen in Open-Source-Projekten mit kleinen Communitys verbunden sind. Dies wird dazu beitragen, einige der Annahmen in unserem Ansatz zu evaluieren und an eine bisher unerforschte Frage heranzugehen, da sich die meisten verfügbaren Studien über Bug-Bounty-Programme auf die Seite der Sicherheitsforscher:innen konzentrieren.
Zu diesem Zweck hat die Sovereign Tech Agency Dr. Ryan Ellis, Associate Professor of Communication Studies an der Northeastern University, beauftragt, einen Bericht über die Wirksamkeit von Bug-Bounty-Programmen zu schreiben. Dr. Ellis ist spezialisiert auf Kommunikationsrecht, Infrastrukturpolitik und Cybersicherheit. Zu seinen Veröffentlichungen gehört "Letters, Power Lines, and Other Dangerous Things" (MIT Press, 2020), und er ist Mitherausgeber von "Rewired: Cybersecurity Governance" (Wiley, 2019).
Fragen
Die Antworten zu häufig gestellten Fragen haben wir auf die unten verlinkte Seite gesammelt, z.B.
- „Welche Dienstleistungen werden im Rahmen des Sovereign Tech Resilience Programms angeboten?“ und
- „Wer kann sich für das Sovereign Tech Resilience Programm bewerben?“