Aktuelles, Branche, Produkte - geschrieben von cp am Mittwoch, November 9, 2011 0:26 - noch keine Kommentare
Secunia: Unabhängiges Vulnerability Reward Programme gestartet
Experten sollen durch Boni ermutigt werden, Koordinationsaufgaben für aufgedeckte Schwachstellen von dem Unternehmen durchführen zu lassen
[datensicherheit.de, 08.11.2011] Secunia hat am 2. November 2011 ein neues Programm gestartet, in dessen Rahmen Secunia unabhängig vom Softwarehersteller die Aufdeckung von Sicherheitslücken bestätigen und mithilfe von Experten die weitere Koordination mit den Herstellern durchführen will:
Das Programm „Secunia Vulnerability Coordination Reward Programme” (SVCRP) soll Experten die Möglichkeit bieten, entdeckte
Sicherheitslücken in jeglicher Software durch Dritte zu bestätigen und den Koordinationsprozess mit dem Softwarehersteller durchführen zu lassen. Als Teil des Programms würden diejenigen Experten honoriert, die mit Secunia in Verbindung treten, um Schwachstellen zu melden und diese über Secunia mit den Herstellern koordinieren zu lassen. Diese weitreichende Initiative sei entwickelt worden, um Programme anderer Unternehmen zu ergänzen, und werde alle Schwachstellen entsprechende den Secunia-Kriterien berücksichtigen.
Einige Forscher hätten sich in der Vergangenheit mit formlosen Supportanfragen an Secunia gewandt. Der IT-Sicherheitsexperte möchte jetzt mehr Experten durch einen Bonus dazu ermutigen, die Koordinationsaufgaben für aufgedeckte Schwachstellen von dem Unternehmen durchführen zu lassen. Der größte Vorteil unabhängiger Forscher ergebe sich durch Secunias Expertise, Schwachstellen zu bewerten und zu bestätigen, wodurch den Experten somit Zeit und Aufwand erspart würden, indem Secunia die Schließung der Sicherheitslücken auf direktem Weg mit den Herstellern abstimme. Vorteile für die Hersteller lägen in der detaillierten Überprüfung der Schwachstellenreports durch Secunia, die das Kernproblem der Codes herausarbeiteten. In der Folge erhielten die Hersteller sehr präzise Informationen zu den Sicherheitslücken und würden von Secunia in der vollständigen Behebung der Schwachstellen unterstützt; es werde auch sichergestellt, dass die Erläuterung von Sicherheitslücken bereits vor Produktlaunch von neuen Patches korrekt erfolge. Daraus resultiere eine schnellere Untersuchung und gründliche Behebung von Software-Problemen. Zusätzlich profitierten sowohl die Forscher als auch die Hersteller von Secunia in der Rolle als zuverlässiger und unabhängiger Vermittler.
Die Anwender würden Vorteile erlangen, da Secunia durch den umfassenden Koordinationsprozess von Sicherheitslücken mit den Forschern auch vermehrt mit den Herstellern in Kontakt treten werde. Folglich würden zukünftig mehr Lösungen zu Software-Problemen ermittelt, die allgemeine Zuverlässigkeit von Software wird verbessert und letztendlich ein effizienteres Arbeiten erzielt.
Die meisten Anwendungen mit Sicherheitslücken sollen sich für das „SVCR-Programm“ eignen – folgende Kriterien müssten erfüllt sein:
- Die Sicherheitslücke befindet sich innerhalb einer stabilen Version der Anwendung.
- Die Sicherheitslücke befindet sich innerhalb der aktuellen Version der Anwendung.
- Die Anwendung wird vom Hersteller weiterhin unterstützt.
- Die Sicherheitslücke ist der Öffentlichkeit noch nicht bekannt.
- Secunia kann die gemeldete Sicherheitslücke bestätigen.
Alle Kunden Secunias sowie die gesamte Community sollen die Informationen gleichzeitig erhalten, sobald diese von den Gutachtern bei Secunia veröffentlicht werden.
Die Wissenschaftler würden auch weiterhin Zahlungen von Softwareherstellern für ihre Koordinationsarbeit bei Sicherheitslücken erhalten. Secunia werde die Sicherheitslücken mittels aufwändiger Tests in unabhängigen Forschungseinrichtungen prüfen und bestätigen, erhalte allerdings von den Herstellern kein Geld oder andere Gegenleistungen, weder für die Koordination noch für die Untersuchungen selbst.
Die Boni für die Aufdeckung von Schwachstellen reichten von hochwertigen Merchandise-Artikeln bis zu zwei jährlich verliehenen Preisen, wie den Besuch einer IT-Sicherheitskonferenz aus einer Auswahl der weltweit beliebtesten Veranstaltungen, inklusive Übernachtung im Hotel. Diese Preise verleihe Secunia im Januar 2012 das erste Mal überhaupt. Eine Auszeichnung bekomme der Experte, der die Abwicklung der interessantesten Sicherheitslücke koordiniert. Diese Lücke werde von Secunia in der Kategorie „Interessantester Koordinationsreport“ bewertet. Die Kriterien für die Nominierung beinhalteten Komplexität, Auswirkungen, Ebene sowie Detailgrad. Die andere Auszeichnung werde an denjenigen Wissenschaftler vergeben, der kontinuierlich richtige und klar detaillierte Schwachstellenreports koordiniert habe, die schnell und einfach von Secunia hätten bestätigt werden können. Dieser Forscher erhalte von Secunia die Auszeichnung „Wertvollster Beitrag”. Secunia werde auch weiterhin Boni an Forscher vergeben, die die Entdeckungen von Sicherheitslücken koordinieren, basierend auf der individuellen Leistung. Die Teilnahme am Programm sei kostenlos und bedürfe keiner Registrierung.
Weitere Informationen zum Thema:
Secunia
Secunia Vulnerability Coordination Reward Program (SVCRP)
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren