Definition

Bug-Bounty-Programm

Mitarbeiter: Matthew Haughn

Bei Bug-Bounty-Programmen werden in aller Regel Einzelpersonen für das Entdecken und Melden von Software-Bugs belohnt. Entsprechende Programme werden häufig als Ergänzung zu Security-Audits und Penetrationstests als Bestandteil der Sicherheitsstrategie ins Leben gerufen.

Zahlreiche Software-Hersteller und Websites betreiben entsprechende Programme. Dort erhalten Sicherheitsforscher oder White Hat Hacker Belohnungen für das Melden von Schwachstellen, die das Potenzial haben für Angriffe genutzt zu werden. Die entsprechende Meldung muss es üblicherweise dem Hersteller oder Entwickler erlauben, die Schwachstelle nachzuvollziehen und zu reproduzieren. In der Regel korreliert die Höhe der Belohnung mit der Größe des Unternehmens, der Schwierigkeit des Entdeckens und den Auswirkungen, die von der Schwachstelle ausgehen könnten.

Mozilla staffelt beispielsweise die Belohnung nach Schweregrad der Schwachstelle, beim Client-Bug-Bounty-Programm reicht die Bandbreite von 500 bis 10.000 US-Dollar. Insgesamt habe man bereits über 1,6 Millionen US-Dollar ausbezahlt, so Mozilla. Microsoft hat zahlreiche Bug-Bounty-Programme am Start, die Prämienspanne ist groß und reicht bis 100.000 US-Dollar. Facebook legt die Höhe der Prämie anhand einer Vielzahl von Faktoren fest, wird eine Prämie ausbezahlt, beträgt diese mindestens 500 US-Dollar.

Es kann sehr effektiv sein, mit Hilfe von ethischen Hackern Fehler in der Software aufzuspüren. Dennoch gibt es unterschiedliche Meinungen hinsichtlich offener Programmen. Einige Hersteller und Organisationen bieten daher nur begrenzte, geschlossene Programme, die eine Einladung erfordern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Diese Definition wurde zuletzt im Februar 2017 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

File Extensions and File Formats

ComputerWeekly.de

Close