Bug Bounty, BugBounty

Aviras BugBounty – Eine Zwischenbilanz

Oftmals wird an der Antivirus-Industrie bemängelt, dass ihre Software, welche tief im System verankert ist, zu unsicher ist und zu instabil programmiert wurde. Wir möchten dem entgegen wirken und transparent zeigen, wie wir mit dem Thema Produktsicherheit umgehen. Ein wichtiger Teil hiervon ist unser BugBounty-Programm.

Was ist ein BugBounty-Programm?

Im April diesen Jahres hat Avira sein erstes BugBounty-Programm ausgelobt. „BugBounty“ kommt aus dem Englischen und bedeutet übersetzt soviel wie Fehler-Kopfgeld. Das heißt, Avira setzt ein Kopfgeld für Fehler aus. Natürlich bekommt man nicht für alle Fehler Geld. Hierzu gibt es entsprechende Regeln und Richtlinien. Im ersten Versuch haben wir uns für zwei Windowsprogramme entschieden: unseren Windows Virenschutz und unseren Management-„Launcher“.

War das Programm erfolgreich?

Nach einer ersten Testphase von vier Monaten waren sich Entwicklung, Support und Security darüber einig, dass das BugBounty-Programm ein voller Erfolg war und das Geld damit gut investiert ist. Bis heute haben sich 313 Personen für das Programm angemeldet und wir haben ca. 17.000$ an Prämien ausbezahlt. Hier muss man berücksichtigen, dass es nicht gerade einfach ist, Schwachstellen in einem so komplexen Produkt wie einem Virenschutz zu finden. So ist zum Beispiel die Anzahl der Teilnehmer für Webseiten in der Regel wesentlich höher. Von über 80 Meldungen konnte Avira bis Mitte Oktober 21 Bugs ausbezahlen.


RELATED ARTICLE

https://blog.avira.com/bug-bounty-time-at-avira/


Die Art und Qualität der Meldungen ist vollkommen unterschiedlich. Zu Beginn war die BugBounty nur für eingeladene Entwickler und Tester zugänglich. Anfang Juni haben wir das Programm dann jedermann zugänglich gemacht. Hierdurch hat sich zwar die Anzahl der Meldungen insgesamt erhöht, allerdings blieb die Zahl der validen Meldungen gleich. Wer Interesse hat an dem BugBounty-Programm von Avira teilzunehmen, kann sich übrigens unter diesem Link anmelden.

Wie geht es nun weiter?

Nachdem wir uns dafür entschieden haben, das BugBounty-Programm für unsere Antivirenlösung und unsere Managementkonsole bis Mai 2017 zu verlängern, wollen wir noch zusätzliche Produkte auf Herz und Nieren prüfen lassen.

In den nächsten Wochen werden wir über weitere Maßnahmen aus dem Themenfeld „Sichere Software“ berichten – halten Sie also die Augen offen.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch