Bug Resilience Programm FAQ

Häufig gestellte Fragen zum Bug Resilience Program des Sovereign Tech Fund

Welche Dienstleistungen werden im Rahmen des Bug Resilience Program angeboten?

Derzeit besteht das Bug Resilience Programm (BRP) aus drei Leistungsbereichen, die in Zusammenarbeit mit unseren Implementierungspartner:innen angeboten werden.

  • Direkte Beiträge mit Neighbourhoodie Software GmbH
  • Code Audits mit OSTIF
  • Bug- und Fix-Bounty-Programm auf der YesWeHack Plattform.

Wer kann sich für das Bug Resilience Program bewerben?

Das BRP ist derzeit nur auf Einladung möglich. Wir priorisieren Technologien, die vom STF bereits als kritische Open-Source-Infrastrukturen eingestuft wurden.


Welche Aktivitäten fallen unter „Direkte Mitwirkung“?

  • Beratung und Mitwirkung zum Umgang mit technischen Schulden
  • Unterstützung bei der Priorisierung und Behebung bekannter Probleme
  • Code-Reviews
  • Stil- und Beitragsleitfäden
  • Bereitstellung von jeglichen Code- oder Nicht-Code-Beiträgen, die die technische Belastbarkeit und Wartbarkeit des Softwareprojekts verbessern.

Wie funktioniert der Bereich „Direkte Beiträge“?

Ziel der direkten Beiträge ist es, sowohl Code als auch Nicht-Code-Beiträge zur Open-Source-Infrastruktur anzubieten, um die Gefahr zu verringern, dass sich Schwachstellen in Code-Basen verstecken. Direkte Beiträge verbessern auch die Wartbarkeit der Software und machen sie letztlich sicherer. Nach der Einladung zum Bug-Resilience-Programm lernen die Maintainer:innen die Neighbourhoodie Software GmbH kennen. Sie definiert den Umfang der Dienste, die das Projekt am meisten benötigt. Das BRP prüft anschließend den Leistungsumfang und genehmigt ihn, und Neighbourhoodie Software GmbH wird dann die direkte Beiträge leisten.


Wie funktioniert die „Bug- und Fix-Bounty-Plattform“?

Sobald ein Open-Source-Infrastrukturprojekt einige präventive Verbesserungsschritte unternommen hat und/oder bereit für ein öffentliches Bug Bounty ist, wird BRP ein Bug-Bounty-Programm auf der YesWeHack Plattform bereitstellen. Das teilnehmende Projekt ist dafür verantwortlich, den Umfang des Bug Bounty zu definieren und die gemeldeten Schwachstellen zu beheben. YesWeHack unterstützt bei der Einladung von Forscher:innen und der Auswertung der eingehenden Meldungen. STF zahlt ein Bug Bounty für jede verantwortungsvoll offengelegte Schwachstelle sowie ein Fix Bounty an das teilnehmende Projekt für die Behebung einer so über das Programm gemeldeten Schwachstelle.


Wer zahlt für die im Rahmen des Bug Resilience Program erbrachten Leistungen?

Das BRP bzw. der STF hat mit den Umsetzungspartner:innen Vereinbarungen zur Übernahme der Kosten abgeschlossen, die durch die Erbringung dieser Dienstleistungen entstehen. Derzeit kann das BRP den teilnehmenden Projekten keine Entschädigung zahlen oder Finanzierung anbieten, abgesehen von den oben beschriebenen „Fix Bounties“.


Beeinflusst die Teilnahme am Bug Resilience Programm die Finanzierung durch den Sovereign Tech Fund?

Die Teilnahme am Bug Resilience Programm hat keine Auswirkungen auf andere Vereinbarungen zwischen einem Open-Source-Infrastrukturprojekt und dem STF.


Wie können wir Feedback zum Bug Resilience Program geben?

Wir schätzen Feedback sowohl von den teilnehmenden Projekten als auch von allen Interessierten zu unserem Ansatz zu Bug Resilience und dessen Umsetzung sehr. Wir führen während der Laufzeit des Programms regelmäßige Evaluierungen durch und laden zu spezifischem Feedback darüber ein, wie gut das Programm seine Ziele und die gewünschten Auswirkungen erreicht.

Wir freuen uns auch jederzeit über Rückmeldungen unter: bugresilience@sovereigntechfund.de