Bug-Resilience-Programm FAQ

Derzeit besteht das Bug-Resilience-Programm (BRP) aus drei Leistungsbereichen, die in Zusammenarbeit mit unseren Implementierungspartner*innen angeboten werden.

• Direkte Mitwirkung mit Neighbourhoodie Software
• Code Audits mit OSTIF
• Bug- und Fix-Bounty-Programm auf der YesWeHack Plattform.

Das Bug-Resilience-Programm nimmt Anträge von FOSS-Infrastrukturprojekten entgegen. Alle Bewerbungen, die die Kriterien erfüllen, werden nach dem Prinzip „first-come, first-serve“ zur Teilnahme eingeladen. Mehr über das Bewerbungsverfahren findest du auf der BRP-Seite.

• Beratung und Mitwirkung zum Umgang mit technischen Schulden
• Unterstützung bei der Priorisierung und Behebung bekannter Probleme
• Code-Reviews
• Stil- und Beitragsleitfäden
• Verbesserung der Testabdeckung und der Testmöglichkeiten
• Implementierung von Release-Automatisierungen
• Bereitstellung von jeglichen Code- oder Nicht-Code-Beiträgen, die die technische Belastbarkeit und Wartbarkeit des Softwareprojekts verbessern.

Ziel der direkten Mitwirkung ist es, sowohl Code als auch Nicht-Code-Beiträge zur Open-Source-Infrastruktur anzubieten, um die Gefahr zu verringern, dass sich Schwachstellen in Code-Basen verstecken. Direkte Beiträge verbessern auch die Wartbarkeit der Software und machen sie letztlich sicherer. Nach der Einladung zum Bug-Resilience-Programm lernen die Maintainer*innen die Neighbourhoodie Software kennen. Sie definiert den Umfang der Dienste, die das Projekt am meisten benötigt. Das BRP prüft anschließend den Leistungsumfang und genehmigt ihn, und Neighbourhoodie Software wird dann die direkten Beiträge leisten.

Sobald ein Open-Source-Infrastrukturprojekt einige präventive Verbesserungsschritte unternommen hat und/oder bereit für ein öffentliches Bug Bounty ist, wird BRP ein Bug-Bounty-Programm auf der YesWeHack Plattform bereitstellen. Das teilnehmende Projekt ist dafür verantwortlich, den Umfang des Bug Bounty zu definieren und die gemeldeten Schwachstellen zu beheben. YesWeHack unterstützt bei der Einladung von Forscher:innen und der Auswertung der eingehenden Meldungen. STF zahlt ein Bug-Bounty für jede verantwortungsvoll offengelegte Schwachstelle sowie ein Fix-Bounty an das teilnehmende Projekt für die Behebung einer so über das Programm gemeldeten Schwachstelle.

Das BRP bzw. der STF hat mit den Umsetzungspartner*innen Vereinbarungen zur Übernahme der Kosten abgeschlossen, die durch die Erbringung dieser Dienstleistungen entstehen. Derzeit kann das BRP den teilnehmenden Projekten keine Entschädigung zahlen oder Finanzierung anbieten, abgesehen von den oben beschriebenen „Fix-Bounties“.

Die Teilnahme am Bug Resilience Programm hat keine Auswirkungen auf andere Vereinbarungen zwischen einem Open-Source-Infrastrukturprojekt und dem STF.

Wir schätzen Feedback sowohl von den teilnehmenden Projekten als auch von allen Interessierten zu unserem Ansatz zu Schwachstellenmanagement und dessen Umsetzung sehr. Während der Laufzeit des Programms führen wir regelmäßige Evaluierungen durch und laden zu spezifischem Feedback darüber ein, wie gut das Programm seine Ziele und die gewünschten Auswirkungen erreicht.

Wir freuen uns auch jederzeit über Rückmeldungen unter: bugresilience@sovereigntechfund.de

Wenn du finanziell oder als Expert*in für Schwachstellenmanagement mit dem BRP zusammenarbeiten möchtest, freuen wir uns über eine E-Mail an partnerships@bugresilience.de