Die eigene Software sicherer machen: Dafür zieht Google schon seit mehr als zehn Jahren die Netzgemeinde zu Rate. Wer eine relevante Lücken in Google-Produkten findet und meldet, wird vom Unternehmen entsprechend entlohnt.

Eben dieses System weitet Google mit dem „Open Source Software Vulnerability Rewards Program“ (OSS-VRP) jetzt auch auf Projekte aus, deren Code beispielsweise auf GitHub öffentlich zugänglich ist.

„Forscher:innen können jetzt für das Auffinden von Fehlern belohnt werden, die sich möglicherweise auf das gesamte Open-Source-Ökosystem auswirken könnten“, verkünden Googles IT-Sicherheitsexperte Krzysztof Kotowicz und der Manager des „Open Source Security Technical Program“, Francis Perron, in einem offiziellen Blogpost.

Darin beschreiben sie nicht nur die Regeln für die Jagd auf Sicherheitslücken, sondern geben auch einen Ausblick, wie hoch die Belohnungen für gefundene Risiken ausfallen könnten.

Das OSS-VRP beziehe sich auf alle „aktuellen Versionen von Open-Source-Software (einschließlich Repository-Einstellungen), die in den öffentlichen Repositories der zu Google gehörenden GitHub-Organisationen (z. B. Google, GoogleAPIs, GoogleCloudPlatform, …) gespeichert sind“. Aber auch Anwendungen von Drittparteien, die mit den Google-Projekten verknüpft sind, könnten von Interesse sein – solange diese Drittparteien mit der Einreichung gefundener Schwachstellen ins OSS-VRP einverstanden sind.

Entlohnt werden beispielsweise Hinweise auf „Schwachstellen, die zur Gefährdung der Lieferkette führen“, „Konstruktionsprobleme, die Produktschwachstellen verursachen“ oder Datenlecks. „Je nach Schweregrad der Schwachstelle und der Bedeutung des Projekts liegen die Belohnungen zwischen 100 und 31.337 US-Dollar“, heißt es.

Die höchsten Summen schreibt Google dabei für Hinweise auf Lücken in besonders „sensiblen“ Open-Source-Projekten aus. Dazu gehört zum Beispiel das Betriebssystem Fuchsia, das im Smart-Assistant Nest Hub eingesetzt wird. Aber auch das Build-Tool Bazel, das Front-End-Framework Angular, die Programmiersprache Golang und das Datenformat Protocol Buffers stehen auf der Liste, die mit der Zeit erweitert werden soll.

Wird eine besonders außergewöhnlicher Schwachstelle eingereicht, setzt sich das Unternehmen mit dem Einsender oder der Einsenderin direkt in Verbindung, „um den Fall zu klären und zu lösen“. Und: Entscheidet ein:e Finder:in, die Belohnung zu spenden, verdoppelt Google den Betrag.

Aber warum das Ganze? Das OSS-VRP sei „eine Antwort auf die immer häufiger auftretenden Angriffe auf die Lieferkette. Im vergangenen Jahr gab es einen Anstieg der Angriffe auf die Open-Source-Lieferkette um 650 Prozent im Vergleich zum Vorjahr“. Eines der prominentesten Beispiele dürfte der Fall Log4j gewesen sein.

Wer Sicherheitslücken meldet, trägt also einerseits ein Stück weit, so Kotowicz und Perron, dazu bei, „die Sicherheit des Open-Source-Ökosystems zu verbessern“ – und hilft andererseits Google als Unternehmen, potenzielle Sicherheitsskandale vorzeitig abzuwenden.