Bug Resilience Programm FAQ

Derzeit besteht das Bug Resilience Programm (BRP) aus drei Leistungsbereichen, die in Zusammenarbeit mit unseren Implementierungspartner*innen angeboten werden.

• Direkte Beiträge mit Neighbourhoodie Software GmbH
• Code Audits mit OSTIF
• Bug- und Fix-Bounty-Programm auf der YesWeHack Plattform.

Das BRP ist derzeit nur auf Einladung möglich. Wir priorisieren Technologien, die vom STF bereits als kritische Open-Source-Infrastrukturen eingestuft wurden.

• Beratung und Mitwirkung zum Umgang mit technischen Schulden
• Unterstützung bei der Priorisierung und Behebung bekannter Probleme
• Code-Reviews
• Stil- und Beitragsleitfäden
• Bereitstellung von jeglichen Code- oder Nicht-Code-Beiträgen, die die technische Belastbarkeit und Wartbarkeit des Softwareprojekts verbessern.

Ziel der direkten Beiträge ist es, sowohl Code als auch Nicht-Code-Beiträge zur Open-Source-Infrastruktur anzubieten, um die Gefahr zu verringern, dass sich Schwachstellen in Code-Basen verstecken. Direkte Beiträge verbessern auch die Wartbarkeit der Software und machen sie letztlich sicherer. Nach der Einladung zum Bug-Resilience-Programm lernen die Maintainer*innen die Neighbourhoodie Software GmbH kennen. Sie definiert den Umfang der Dienste, die das Projekt am meisten benötigt. Das BRP prüft anschließend den Leistungsumfang und genehmigt ihn, und Neighbourhoodie Software GmbH wird dann die direkten Beiträge leisten.

Sobald ein Open-Source-Infrastrukturprojekt einige präventive Verbesserungsschritte unternommen hat und/oder bereit für ein öffentliches Bug Bounty ist, wird BRP ein Bug-Bounty-Programm auf der YesWeHack Plattform bereitstellen. Das teilnehmende Projekt ist dafür verantwortlich, den Umfang des Bug Bounty zu definieren und die gemeldeten Schwachstellen zu beheben. YesWeHack unterstützt bei der Einladung von Forscher:innen und der Auswertung der eingehenden Meldungen. STF zahlt ein Bug-Bounty für jede verantwortungsvoll offengelegte Schwachstelle sowie ein Fix-Bounty an das teilnehmende Projekt für die Behebung einer so über das Programm gemeldeten Schwachstelle.

Das BRP bzw. der STF hat mit den Umsetzungspartner*innen Vereinbarungen zur Übernahme der Kosten abgeschlossen, die durch die Erbringung dieser Dienstleistungen entstehen. Derzeit kann das BRP den teilnehmenden Projekten keine Entschädigung zahlen oder Finanzierung anbieten, abgesehen von den oben beschriebenen „Fix-Bounties“.

Die Teilnahme am Bug Resilience Programm hat keine Auswirkungen auf andere Vereinbarungen zwischen einem Open-Source-Infrastrukturprojekt und dem STF.

Wir schätzen Feedback sowohl von den teilnehmenden Projekten als auch von allen Interessierten zu unserem Ansatz zu Bug Resilience und dessen Umsetzung sehr. Wir führen während der Laufzeit des Programms regelmäßige Evaluierungen durch und laden zu spezifischem Feedback darüber ein, wie gut das Programm seine Ziele und die gewünschten Auswirkungen erreicht.

Wir freuen uns auch jederzeit über Rückmeldungen unter: bugresilience@sovereigntechfund.de