Schnellster Bugfix benötigte nur 12 Minuten

„Open Bug Bounty“-Projekt veröffentlicht Statistiken

| Redakteur: Stephan Augsten

Das „Open Bug Bounty“-Programm zur Behebung von Website-Schwachstellen erfreut sich zunehmender Beliebtheit.
Das „Open Bug Bounty“-Programm zur Behebung von Website-Schwachstellen erfreut sich zunehmender Beliebtheit. (Bild: Open Bug Bounty)

Der gemeinnützige Schwachstellen-Prämien-Service Open Bug Bounty hat interessante Statistiken für das erste Halbjahr 2019 veröffentlicht. Knapp 92.600 Sicherheitslücken wurden demnach gemeldet, mehr als die Hälfte davon noch im selben Zeitraum gefixt.

Im Zuge des „Open Bug Bounty“-Programms, in das auch Apple, Amazon, Airbnb und Asus involviert sind, wurden im Zeitraum von Januar bis Juni 2019 genau 92.598 neue Schwachstellen gemeldet. 51,6 Prozent davon, in absoluten Zahlen 47.812 Fehler, konnten bereits behoben werden.

Seit der Gründung durch unabhängige Sicherheitsforscher vor ziemlich genau fünf Jahren, im Juni 2014, wurden insgesamt 212.148 Sicherheitsanfälligkeiten gemeldet. Die Zahl der 2019 entdeckten Schwachstellen belegt einen starken Anstieg der Nutzung des Dienstes. Daraus resultierten 516 Belohnungsprogramme für teils übergreifende Sicherheitslücken auf insgesamt 1.022 Websites.

Die durchschnittliche Zeitspanne für das Beheben einer Schwachstellte betrug 2019 bislang 53 Tage, der schnellste Fix stand nach nur 12 Minuten bereit. Sowohl der Prozentsatz der behobenen Schwachstellen als auch die durchschnittliche Zeit bis zum Fix machten einen guten Eindruck, meint Ilia Kolochenko, Gründerin und CEO des Web-Sicherheitsunternehmens ImmuniWeb: „Bug-Bounties sind eine sinnvolle Ergänzung zu ausgereiften Anwendungssicherheitsprogrammen, die DevSecOps nutzen.“

Kompetente Softwareentwickler mit einem guten Verständnis für Anwendungssicherheit und Secure SDLC seien für ein erfolgreiches Bug-Bounty-Programm unerlässlich, meint sie. „Unternehmen, die nicht über die interne Kapazität verfügen, gemeldete Fehler zu beheben und eine nahtlose Kommunikation mit Forschern zu pflegen, verurteilten entsprechende Prämienprogramme zum Scheitern.

Open Bug Bounty erlaubt es jedem IT-Sicherheitsforscher, Schwachstellen auf jeder Website zu melden. Voraussetzung dafür ist, dass die Probleme ohne invasive Methoden entdeckt werden und die Sicherheitslücken verantwortungsvoll offengelegt werden. Seit März umfasst das Projekt einen neuen Bereich, über den Website-Besitzer schnell über persönlich identifizierbare Informationslecks (PII) informiert werden können, was angesichts der DSGVO einen großen Mehrwert darstellt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45980666 / Security-Testing)