Aktuelles, Branche, Produkte - geschrieben von cp am Mittwoch, November 9, 2011 0:26 - noch keine Kommentare
Secunia: Unabhängiges Vulnerability Reward Programme gestartet
Experten sollen durch Boni ermutigt werden, Koordinationsaufgaben für aufgedeckte Schwachstellen von dem Unternehmen durchführen zu lassen
[datensicherheit.de, 08.11.2011] Secunia hat am 2. November 2011 ein neues Programm gestartet, in dessen Rahmen Secunia unabhängig vom Softwarehersteller die Aufdeckung von Sicherheitslücken bestätigen und mithilfe von Experten die weitere Koordination mit den Herstellern durchführen will:
Das Programm „Secunia Vulnerability Coordination Reward Programme” (SVCRP) soll Experten die Möglichkeit bieten, entdeckte
Sicherheitslücken in jeglicher Software durch Dritte zu bestätigen und den Koordinationsprozess mit dem Softwarehersteller durchführen zu lassen. Als Teil des Programms würden diejenigen Experten honoriert, die mit Secunia in Verbindung treten, um Schwachstellen zu melden und diese über Secunia mit den Herstellern koordinieren zu lassen. Diese weitreichende Initiative sei entwickelt worden, um Programme anderer Unternehmen zu ergänzen, und werde alle Schwachstellen entsprechende den Secunia-Kriterien berücksichtigen.
Einige Forscher hätten sich in der Vergangenheit mit formlosen Supportanfragen an Secunia gewandt. Der IT-Sicherheitsexperte möchte jetzt mehr Experten durch einen Bonus dazu ermutigen, die Koordinationsaufgaben für aufgedeckte Schwachstellen von dem Unternehmen durchführen zu lassen. Der größte Vorteil unabhängiger Forscher ergebe sich durch Secunias Expertise, Schwachstellen zu bewerten und zu bestätigen, wodurch den Experten somit Zeit und Aufwand erspart würden, indem Secunia die Schließung der Sicherheitslücken auf direktem Weg mit den Herstellern abstimme. Vorteile für die Hersteller lägen in der detaillierten Überprüfung der Schwachstellenreports durch Secunia, die das Kernproblem der Codes herausarbeiteten. In der Folge erhielten die Hersteller sehr präzise Informationen zu den Sicherheitslücken und würden von Secunia in der vollständigen Behebung der Schwachstellen unterstützt; es werde auch sichergestellt, dass die Erläuterung von Sicherheitslücken bereits vor Produktlaunch von neuen Patches korrekt erfolge. Daraus resultiere eine schnellere Untersuchung und gründliche Behebung von Software-Problemen. Zusätzlich profitierten sowohl die Forscher als auch die Hersteller von Secunia in der Rolle als zuverlässiger und unabhängiger Vermittler.
Die Anwender würden Vorteile erlangen, da Secunia durch den umfassenden Koordinationsprozess von Sicherheitslücken mit den Forschern auch vermehrt mit den Herstellern in Kontakt treten werde. Folglich würden zukünftig mehr Lösungen zu Software-Problemen ermittelt, die allgemeine Zuverlässigkeit von Software wird verbessert und letztendlich ein effizienteres Arbeiten erzielt.
Die meisten Anwendungen mit Sicherheitslücken sollen sich für das „SVCR-Programm“ eignen – folgende Kriterien müssten erfüllt sein:
- Die Sicherheitslücke befindet sich innerhalb einer stabilen Version der Anwendung.
- Die Sicherheitslücke befindet sich innerhalb der aktuellen Version der Anwendung.
- Die Anwendung wird vom Hersteller weiterhin unterstützt.
- Die Sicherheitslücke ist der Öffentlichkeit noch nicht bekannt.
- Secunia kann die gemeldete Sicherheitslücke bestätigen.
Alle Kunden Secunias sowie die gesamte Community sollen die Informationen gleichzeitig erhalten, sobald diese von den Gutachtern bei Secunia veröffentlicht werden.
Die Wissenschaftler würden auch weiterhin Zahlungen von Softwareherstellern für ihre Koordinationsarbeit bei Sicherheitslücken erhalten. Secunia werde die Sicherheitslücken mittels aufwändiger Tests in unabhängigen Forschungseinrichtungen prüfen und bestätigen, erhalte allerdings von den Herstellern kein Geld oder andere Gegenleistungen, weder für die Koordination noch für die Untersuchungen selbst.
Die Boni für die Aufdeckung von Schwachstellen reichten von hochwertigen Merchandise-Artikeln bis zu zwei jährlich verliehenen Preisen, wie den Besuch einer IT-Sicherheitskonferenz aus einer Auswahl der weltweit beliebtesten Veranstaltungen, inklusive Übernachtung im Hotel. Diese Preise verleihe Secunia im Januar 2012 das erste Mal überhaupt. Eine Auszeichnung bekomme der Experte, der die Abwicklung der interessantesten Sicherheitslücke koordiniert. Diese Lücke werde von Secunia in der Kategorie „Interessantester Koordinationsreport“ bewertet. Die Kriterien für die Nominierung beinhalteten Komplexität, Auswirkungen, Ebene sowie Detailgrad. Die andere Auszeichnung werde an denjenigen Wissenschaftler vergeben, der kontinuierlich richtige und klar detaillierte Schwachstellenreports koordiniert habe, die schnell und einfach von Secunia hätten bestätigt werden können. Dieser Forscher erhalte von Secunia die Auszeichnung „Wertvollster Beitrag”. Secunia werde auch weiterhin Boni an Forscher vergeben, die die Entdeckungen von Sicherheitslücken koordinieren, basierend auf der individuellen Leistung. Die Teilnahme am Programm sei kostenlos und bedürfe keiner Registrierung.
Weitere Informationen zum Thema:
Secunia
Secunia Vulnerability Coordination Reward Program (SVCRP)
Aktuelles, Experten - Nov 4, 2024 17:21 - noch keine Kommentare
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
weitere Beiträge in Experten
- Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt
- Festnahmen in Hessen und Rheinland-Pfalz: BKA meldet erneuten Schlag gegen Underground Economy im Internet
- Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
Branche, Aktuelles - Nov 1, 2024 20:32 - noch keine Kommentare
Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
weitere Beiträge in Branche
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
- Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen
- Kaspersky-Entdeckung: Spyware-Verbreitung über Telegram
- it-sa Expo&Congress 2024 schloss mit starkem Andrang: 25.830 Fachbesucher und 897 Aussteller
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren