Sicherheit: Github startet Safe Harbor für Bug-Bounty-Programm
Um Teilnehmer seines Bug-Bounty-Programms rechtlich besser abzusichern, startet Github ein Safe-Harbor-Programm, das die Aktionen der Sicherheitsforscher absichern soll. Die Richtlinien basieren auf eigener Erfahrung und Vorlagen aus der Community. Das Programm selbst wird ebenfalls erweitert.
Das fünfjährige Jubiläum seines Bug-Bounty-Programms nutzt der Code-Hosting- und Kollaborationsdienst Github zum Rückblick und auch zum Anpassen seiner Initiative, wie das Unternehmen in seinem Blog schreibt. Die für interessierte Sicherheitsforscher wohl wichtigste Neuerung ist die Einführung von sogenannten Safe-Harbor-Regeln, die die Tätigkeiten der Forscher künftig rechtlich noch besser schützen sollten.
Die nun gefundenen Regeln basieren auf Vorlagen aus der Community, Forschungsarbeiten der für Intel tätigen Juristin Amit Elazari sowie den Regeln der Programme von Bugcrowd oder auch Dropbox. Forscher sollen demnach künftig auch vor rechtlichen Konsequenzen geschützt sein, wenn diese aus Versehen die Regeln des Bug-Bounty-Programms übertreten oder auch gegen die Nutzungsbedingungen von Github selbst verstoßen.
Letzteres gelte insbesondere für Dinge wie etwa Reverse Engineering, was nun explizit für die Suche nach Fehlern erlaubt sei. Wichtig ist das vor allem in den USA, wo der Digital Millennium Copyright Act (DMCA) das Umgehen von Sicherheitsbeschränkungen potenziell unter Strafe stellt, unabhängig vom eigentlichen Zweck.
Github verpflichtet sich darüber hinaus, die Daten der Forscher künftig nur noch anonym an eventuell beteiligte Dritte weiterzureichen und dies auch nur dann, wenn dieser Dritte schriftlich bestätigt, dass keine rechtlichen Schritte eingeleitet werden. Die Vorlagen zu den erweiterten Regeln des Bug-Bounty-Programms von Github stehen zudem unter der CC0-Lizenz, so dass diese auch einfach von anderen Unternehmen genutzt werden können.
Mehr Geld und größerer Umfang
Zusätzlich zu den neuen Safe-Harbor-Regeln erweitert Github auch den Umfang seines Bug-Bounty-Programms. Dies umfasse nun sämtliche von Github selbst betriebenen Dienste, die über die Domain Github.com erreichbar seien. Dies umfasst damit künftig auch Github Education, das Learning Lab, das Jobportal, den Desktop-Client sowie auch die Enterprise Cloud. Zusätzlich dazu dürfen Sicherheitsforscher auch die Dienste der Domains Githubapp.com und Github.net untersuchen, die eigentlich nur für die Mitarbeiter von Github gedacht sind.
Das Unternehmen will die Sicherheitsforscher künftig auch noch besser für gefundene Fehler belohnen. So werden die auszuzahlenden Beträge für die verschiedenen Kategorien der Sicherheitslücken erhöht. Für das Auffinden kritischer Lücken möchte Github nun gar zwischen 20.000 und 30.000 US-Dollar auszahlen. Das Unternehmen behält sich ebenso vor, auch noch deutlich über diese Beträge hinauszugehen, falls besonders innovative Angriffsszenarien gefunden werden.