Hackerone – die so genannten White Hat Hacker –, hat heute im Rahmen seiner jährlichen Security-Konferenz die Weiterentwicklung des Internet-Bug-Bounty-Projekts (IBB) angekündigt. Aufgabe des IBB ist es, die Sicherheit von Open-Source-Software zu erhöhen, indem Finanzmittel gebündelt und Anreize für Sicherheitsforscher geschaffen werden, Schwachstellen in freier Software zu melden. Das aktualisierte Programm führt diesen Ansatz fort, indem ein neues Modell zur gemeinsamen Finanzierung geschaffen wird. Das Ziel ist es, dass mehr Organisationen IBB nutzen können, um Open-Source-Abhängigkeiten innerhalb ihrer Software-Lieferketten sicherer zu gestalten. Neben Hackerone beteiligen sich an dem Projekt auch Partnerorganisationen, die sich alle auf Open Source für ihre Software-Lieferketten sowie andere kritische digitale Infrastrukturen verlassen, darunter Elastic, Facebook, Figma, GitHub, Shopify und TikTok.
„TikTok freut sich darauf, innovative Projekte wie das IBB-Pilotprogramm von Hackerone zu unterstützen. Nicht nur, um die Sicherheit von TikTok weiter zu stärken, sondern auch, um ein sichereres Internet für alle zu schaffen, indem die Erkenntnisse von Security-Experten auf der ganzen Welt hierzu herangezogen werden“, sagt Roland Cloutier, Chief Security Officer von TikTok.
Fast alle modernen digitalen Infrastrukturen basieren ganz oder teilweise auf Open-Source-Software, wobei eine durchschnittliche Anwendung 528 verschiedene Open-Source-Komponenten nutzt. Der überwiegende Teil der im vergangenen Jahr entdeckten Open-Source-Schwachstellen, die ein potenzielles Risiko darstellen, sind bereits seit mehr als zwei Jahren im Code enthalten. Und die meisten Unternehmen haben keine direkte Kontrolle über Open-Source-Software innerhalb ihrer Lieferketten, um diese Schwachstellen einfach beheben zu können. Die IBB kann in diesem Zusammenhang bereits auf erste Fortschritte verweisen: Seit ihrem Start im Jahr 2013 konnten schon mehr als 1.000 Schwachstellen in Open-Source-Projekten identifiziert werden. Dabei profitierten nahezu 300 Hacker von Bug-Bounty-Prämien in Höhe von 900.000 US-Dollar.
„Die jüngsten Cyberangriffe auf Software-Lieferketten sind ein Beleg dafür, wie dringend es ist, diese weißen Flecken der Unternehmens-IT abzusichern. Dies zeigt sich auch darin, dass Open-Source-Software einen wachsenden Anteil an der weltweiten Angriffsfläche kritischer Lieferketten hat“, betont Alex Rice, CTO und Mitbegründer von Hackerone. „Das neue IBB befähigt Organisationen, die auf Open Source setzen, einen aktiven Beitrag beim gemeinsamen Aufbau einer sichereren digitalen Infrastruktur für alle zu leisten.“
Das neue Finanzierungsmodell und die Vereinheitlichung des Programms erhöhen die Anreize für Partner, Anbieter und Hacker, Open-Source-Projekte in Sachen Cybersecurity zu verbessern. Das neue Programm unterscheidet sich insbesondere durch drei wesentliche Änderungen vom ursprünglichen IBB:
- Verteidigung auf Basis bestehender Bounty-Programme – Hackerone-Kunden können das IBB nutzen, um Open-Source-Komponenten innerhalb der Lieferkette ihres Unternehmens zu schützen. Von 1 bis 10 Prozent ihrer bestehenden Budgets für Bug-Bounty-Programme, die mit Hackerone realisiert werden, können sie hierzu in einem gemeinsamen Topf mit anderen Kunden kombinieren, die sich dem gleichen Risiko ausgesetzt sehen.
- Support über den gesamten Schwachstellen-Lebenszyklus hinweg – Die Prämien werden zwischen Hackern und Anbietern im Verhältnis 80/20 aufgeteilt. Da diese Anbieter von Open-Source-basierter Software freiwillig dabei helfen, entdeckte Schwachstellen zu beheben, stellt die Aufteilung der Bug Bounties sicher, dass jeder Beteiligte, der zum Schwachstellenmanagement beiträgt, auch eine Gegenleistung erhält.
- Vereinfachte Einreichung von Schwachstellen – Ein konsolidierter Einreichungsprozess für Sicherheitslücken sowie ein spezialisiertes Hackerone-Supportteam sorgen für weitere Verbesserungen, die den Hackern zugutekommen.
„Das GitHub Security Lab konzentriert sich auf die Förderung der Zusammenarbeit zwischen Sicherheitsforschern und Open-Source-Anbietern, um offene Software abzusichern, auf die wir alle angewiesen sind“, erläutert Xavier René-Corail, Director, Security Research bei GitHub Security Lab. „Mit Fokus auf koordinierte Offenlegung und nachhaltige Behebung von Sicherheitslücken bietet das Internet-Bug-Bounty-Programm eine einzigartige Gelegenheit, einen kollaborativen, Community-basierten Ansatz für Open-Source-Sicherheit weiter zu fördern. Speziell, indem es Anreize sowohl für Sicherheitsforscher als auch für die Anbieter schafft.“
Das neue IBB wird einen Beitrag dazu leisten, einige der am häufigsten genutzten Open-Source-Softwareprojekte des Internets zu finanzieren, darunter Curl, Django, Electron, Node.js, Ruby und viele andere. Für die Zukunft plant Hackerone, das Programm auf weitere Projekte und alle Hackerone-Kunden auszuweiten, die die Open-Source-Komponenten ihrer Software-Lieferkette absichern möchten.
Organisationen, die daran interessiert sind, als Partner zum IBB beizutragen, oder mehr über das neue IBB erfahren möchten, finden auf www.hackerone.com/internet-bug-bounty nähere Informationen.