Suchen

Schnellster Bugfix benötigte nur 12 Minuten „Open Bug Bounty“-Projekt veröffentlicht Statistiken

| Redakteur: Stephan Augsten

Der gemeinnützige Schwachstellen-Prämien-Service Open Bug Bounty hat interessante Statistiken für das erste Halbjahr 2019 veröffentlicht. Knapp 92.600 Sicherheitslücken wurden demnach gemeldet, mehr als die Hälfte davon noch im selben Zeitraum gefixt.

Firma zum Thema

Das „Open Bug Bounty“-Programm zur Behebung von Website-Schwachstellen erfreut sich zunehmender Beliebtheit.
Das „Open Bug Bounty“-Programm zur Behebung von Website-Schwachstellen erfreut sich zunehmender Beliebtheit.
(Bild: Open Bug Bounty)

Im Zuge des „Open Bug Bounty“-Programms, in das auch Apple, Amazon, Airbnb und Asus involviert sind, wurden im Zeitraum von Januar bis Juni 2019 genau 92.598 neue Schwachstellen gemeldet. 51,6 Prozent davon, in absoluten Zahlen 47.812 Fehler, konnten bereits behoben werden.

Seit der Gründung durch unabhängige Sicherheitsforscher vor ziemlich genau fünf Jahren, im Juni 2014, wurden insgesamt 212.148 Sicherheitsanfälligkeiten gemeldet. Die Zahl der 2019 entdeckten Schwachstellen belegt einen starken Anstieg der Nutzung des Dienstes. Daraus resultierten 516 Belohnungsprogramme für teils übergreifende Sicherheitslücken auf insgesamt 1.022 Websites.

Die durchschnittliche Zeitspanne für das Beheben einer Schwachstellte betrug 2019 bislang 53 Tage, der schnellste Fix stand nach nur 12 Minuten bereit. Sowohl der Prozentsatz der behobenen Schwachstellen als auch die durchschnittliche Zeit bis zum Fix machten einen guten Eindruck, meint Ilia Kolochenko, Gründerin und CEO des Web-Sicherheitsunternehmens ImmuniWeb: „Bug-Bounties sind eine sinnvolle Ergänzung zu ausgereiften Anwendungssicherheitsprogrammen, die DevSecOps nutzen.“

Kompetente Softwareentwickler mit einem guten Verständnis für Anwendungssicherheit und Secure SDLC seien für ein erfolgreiches Bug-Bounty-Programm unerlässlich, meint sie. „Unternehmen, die nicht über die interne Kapazität verfügen, gemeldete Fehler zu beheben und eine nahtlose Kommunikation mit Forschern zu pflegen, verurteilten entsprechende Prämienprogramme zum Scheitern.

Open Bug Bounty erlaubt es jedem IT-Sicherheitsforscher, Schwachstellen auf jeder Website zu melden. Voraussetzung dafür ist, dass die Probleme ohne invasive Methoden entdeckt werden und die Sicherheitslücken verantwortungsvoll offengelegt werden. Seit März umfasst das Projekt einen neuen Bereich, über den Website-Besitzer schnell über persönlich identifizierbare Informationslecks (PII) informiert werden können, was angesichts der DSGVO einen großen Mehrwert darstellt.

Artikelfiles und Artikellinks

(ID:45980666)