Open Source im professionellen Einsatz

Mozilla macht Security Bounty Program transparenter

15.05.2017

Mozilla hat sein Bug Bounty Program aufgefrischt, mit dem das Auffinden von Fehlern in Firefox und weiteren Mozilla-Produkten finanziell belohnt wird. Die überarbeitete Fassung soll mehr Transparenz hinsichtlich der Auszahlungen bieten.

171

Mozilla hatte das Bug Bounty Program im Jahr 2004 gestartet, damals noch von Linspire und Mark Shuttleworth finanziell unterstützt. Es gab damals 500 US-Dollar für das Auffinden von schwerwiegenden Sicherheitslücken. Sechs Jahre später fügte Mozilla zu den Objekten, für die es bei der Fehlersuche Geld gibt, auch noch seine Webseiten hinzu. Zwischen 500 und 3000 US-Dollar betrug dann die Prämie. Der erste Bug wurde seinerzeit in addons.mozilla.org gefunden und bis dato habe man mehrere hundertausend Dollar ausgezahlt, heißt es im Security-Blog von Mozilla.

Obwohl das Bounty Program also gut angenommen wurde, gab es laut Mozilla immer wieder Probleme mit der Kommunikation, wie Bugs bewertet werden und welche Prämie für das Finden der Fehler ausgezahlt wird. Mozilla hat nun einen Leitfaden aufgestellt, der die Höhe der Prämie erläutern soll. Mozilla hat zu dem Zweck eine Tabelle online gestellt, in der die Art der Fehler, etwa Remote Code Execution, und die Höhe der Bezahlung je nach Stellenwert des Fundort gelistet ist.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.