Sovereign Tech Resilience FAQ
Welche Dienstleistungen werden im Rahmen des Sovereign Tech Resilience-Program angeboten?
Derzeit besteht Sovereign Tech Resilience aus drei Leistungsbereichen, die in Zusammenarbeit mit unseren Implementierungspartner*innen angeboten werden.
- Direkte Mitwirkung mit Neighbourhoodie Software
- Code Audits mit OSTIF
- Bug- und Fix-Bounty-Programm auf der YesWeHack Plattform.
Welche Aktivitäten fallen unter „Direkte Mitwirkung“?
- Beratung und Mitwirkung zum Umgang mit technischen Schulden
- Unterstützung bei der Priorisierung und Behebung bekannter Probleme
- Code-Reviews
- Stil- und Beitragsleitfäden
- Verbesserung der Testabdeckung und der Testmöglichkeiten
- Implementierung von Release-Automatisierungen
- Bereitstellung von jeglichen Code- oder Nicht-Code-Beiträgen, die die technische Belastbarkeit und Wartbarkeit des Softwareprojekts verbessern.
Wie funktioniert der Bereich „Direkte Mitwirkung“?
Ziel der direkten Mitwirkung ist es, sowohl Code als auch Nicht-Code-Beiträge zur Open-Source-Infrastruktur anzubieten, um die Gefahr zu verringern, dass sich Schwachstellen in Code-Basen verstecken. Direkte Beiträge verbessern auch die Wartbarkeit der Software und machen sie letztlich sicherer. Nach der Einladung zum Sovereign Tech Resilience-Programm lernen die Maintainer*innen die Neighbourhoodie Software kennen. Sie definiert den Umfang der Dienste, die das Projekt am meisten benötigt. Sovereign Tech Resilience prüft anschließend den Leistungsumfang und genehmigt ihn, und Neighbourhoodie Software wird dann die direkten Beiträge leisten.
Wie funktioniert die „Bug- und Fix-Bounty-Plattform“?
Sobald ein Open-Source-Infrastrukturprojekt einige präventive Verbesserungsschritte unternommen hat und/oder bereit für ein öffentliches Bug Bounty ist, wird Sovereign Tech Resilience ein Bug-Bounty-Programm auf der YesWeHack Plattform bereitstellen. Das teilnehmende Projekt ist dafür verantwortlich, den Umfang des Bug Bounty zu definieren und die gemeldeten Schwachstellen zu beheben. YesWeHack unterstützt bei der Einladung von Forscher:innen und der Auswertung der eingehenden Meldungen. Sovereign Tech Agency zahlt ein Bug-Bounty für jede verantwortungsvoll offengelegte Schwachstelle sowie ein Fix-Bounty an das teilnehmende Projekt für die Behebung einer so über das Programm gemeldeten Schwachstelle.
Wer zahlt für die im Rahmen von Sovereign Tech Resilience erbrachten Leistungen?
Sovereign Tech Resilience bzw. die Sovereign Tech Agency hat mit den Umsetzungspartner*innen Vereinbarungen zur Übernahme der Kosten abgeschlossen, die durch die Erbringung dieser Dienstleistungen entstehen. Derzeit kann Sovereign Tech Resilience den teilnehmenden Projekten keine Entschädigung zahlen oder Finanzierung anbieten, abgesehen von den oben beschriebenen „Fix-Bounties“.
Beeinflusst die Teilnahme am Sovereign Tech Resilience-Programm die Finanzierung durch den Sovereign Tech Fund?
Die Teilnahme am Sovereign Tech Resilience-Programm hat keine Auswirkungen auf andere Vereinbarungen zwischen einem Open-Source-Infrastrukturprojekt und dem STF.
Wie können wir Feedback zum Sovereign Tech Resilience-Program geben?
Wir schätzen Feedback sowohl von den teilnehmenden Projekten als auch von allen Interessierten zu unserem Ansatz zu Schwachstellenmanagement und dessen Umsetzung sehr. Während der Laufzeit des Programms führen wir regelmäßige Evaluierungen durch und laden zu spezifischem Feedback darüber ein, wie gut das Programm seine Ziele und die gewünschten Auswirkungen erreicht.
Wir freuen uns auch jederzeit über Rückmeldungen unter: bugresilience@sovereigntechfund.de
Wie kann ich die Ziele des Sovereign Tech Resilience-Programms unterstützen?
Wenn du finanziell oder als Expert*in für Schwachstellenmanagement mit Sovereign Tech Resilience zusammenarbeiten möchtest, freuen wir uns über eine E-Mail an partnerships@bugresilience.de