Bug-Resilience-Programm FAQ

Häufig gestellte Fragen zum Bug-Resilience-Programm des Sovereign Tech Fund

Welche Dienstleistungen werden im Rahmen des Bug-Resilience-Program angeboten?

Derzeit besteht das Bug-Resilience-Programm (BRP) aus drei Leistungsbereichen, die in Zusammenarbeit mit unseren Implementierungspartner*innen angeboten werden.

  • Direkte Mitwirkung mit Neighbourhoodie Software
  • Code Audits mit OSTIF
  • Bug- und Fix-Bounty-Programm auf der YesWeHack Plattform.

Wer kann sich für das Bug-Resilience-Programm bewerben?

Das Bug-Resilience-Programm nimmt Anträge von FOSS-Infrastrukturprojekten entgegen. Alle Bewerbungen, die die Kriterien erfüllen, werden nach dem Prinzip „first-come, first-serve“ zur Teilnahme eingeladen. Mehr über das Bewerbungsverfahren findest du auf der BRP-Seite.


Welche Aktivitäten fallen unter „Direkte Mitwirkung“?

  • Beratung und Mitwirkung zum Umgang mit technischen Schulden
  • Unterstützung bei der Priorisierung und Behebung bekannter Probleme
  • Code-Reviews
  • Stil- und Beitragsleitfäden
  • Verbesserung der Testabdeckung und der Testmöglichkeiten
  • Implementierung von Release-Automatisierungen
  • Bereitstellung von jeglichen Code- oder Nicht-Code-Beiträgen, die die technische Belastbarkeit und Wartbarkeit des Softwareprojekts verbessern.

Wie funktioniert der Bereich „Direkte Mitwirkung“?

Ziel der direkten Mitwirkung ist es, sowohl Code als auch Nicht-Code-Beiträge zur Open-Source-Infrastruktur anzubieten, um die Gefahr zu verringern, dass sich Schwachstellen in Code-Basen verstecken. Direkte Beiträge verbessern auch die Wartbarkeit der Software und machen sie letztlich sicherer. Nach der Einladung zum Bug-Resilience-Programm lernen die Maintainer*innen die Neighbourhoodie Software kennen. Sie definiert den Umfang der Dienste, die das Projekt am meisten benötigt. Das BRP prüft anschließend den Leistungsumfang und genehmigt ihn, und Neighbourhoodie Software wird dann die direkten Beiträge leisten.


Wie funktioniert die „Bug- und Fix-Bounty-Plattform“?

Sobald ein Open-Source-Infrastrukturprojekt einige präventive Verbesserungsschritte unternommen hat und/oder bereit für ein öffentliches Bug Bounty ist, wird BRP ein Bug-Bounty-Programm auf der YesWeHack Plattform bereitstellen. Das teilnehmende Projekt ist dafür verantwortlich, den Umfang des Bug Bounty zu definieren und die gemeldeten Schwachstellen zu beheben. YesWeHack unterstützt bei der Einladung von Forscher:innen und der Auswertung der eingehenden Meldungen. STF zahlt ein Bug-Bounty für jede verantwortungsvoll offengelegte Schwachstelle sowie ein Fix-Bounty an das teilnehmende Projekt für die Behebung einer so über das Programm gemeldeten Schwachstelle.


Wer zahlt für die im Rahmen des Bug-Resilience-Program erbrachten Leistungen?

Das BRP bzw. der STF hat mit den Umsetzungspartner*innen Vereinbarungen zur Übernahme der Kosten abgeschlossen, die durch die Erbringung dieser Dienstleistungen entstehen. Derzeit kann das BRP den teilnehmenden Projekten keine Entschädigung zahlen oder Finanzierung anbieten, abgesehen von den oben beschriebenen „Fix-Bounties“.


Beeinflusst die Teilnahme am Bug-Resilience-Programm die Finanzierung durch den Sovereign Tech Fund?

Die Teilnahme am Bug Resilience Programm hat keine Auswirkungen auf andere Vereinbarungen zwischen einem Open-Source-Infrastrukturprojekt und dem STF.


Wie können wir Feedback zum Bug-Resilience-Program geben?

Wir schätzen Feedback sowohl von den teilnehmenden Projekten als auch von allen Interessierten zu unserem Ansatz zu Schwachstellenmanagement und dessen Umsetzung sehr. Während der Laufzeit des Programms führen wir regelmäßige Evaluierungen durch und laden zu spezifischem Feedback darüber ein, wie gut das Programm seine Ziele und die gewünschten Auswirkungen erreicht.

Wir freuen uns auch jederzeit über Rückmeldungen unter: bugresilience@sovereigntechfund.de


Wie kann ich die Ziele des Bug-Resilience-Programms unterstützen?

Wenn du finanziell oder als Expert*in für Schwachstellenmanagement mit dem BRP zusammenarbeiten möchtest, freuen wir uns über eine E-Mail an partnerships@bugresilience.de