Die Sicherheit von Software ist von entscheidender Bedeutung, um Hackerangriffen vorzubeugen. Bug Bounty Programme (BBPs) sind eine Möglichkeit, Schwachstellen in Software zu identifizieren und zu melden. Allerdings können Softwareanbieter Informationen über diese Schwachstellen zurückhalten, was zu einer Informationsasymmetrie führt, die es den Benutzern erschwert, die Sicherheit der Software zu bewerten. In diesem Blogartikel werden wir diskutieren, wie verpflichtende Offenlegungsanforderungen diese Informationslücke überbrücken können und ein transparenteres und sichereres Software-Ökosystem fördern können.
Software-Schwachstellen sind Sicherheitslücken in der Software, die von Angreifern ausgenutzt werden können. Das Finden und Beheben von Schwachstellen durch Softwaretests ist teuer und zeitaufwendig und steht im Konflikt mit dem Druck auf schnelle Software-Veröffentlichungen. Dieses Dilemma zwingt Manager dazu, Software herauszugeben, sobald sie die restlichen Sicherheitsrisiken auf ein tolerables Maß reduziert haben. Viele Anbieter veröffentlichen daher Software mit restlichen Schwachstellen, und wählen später, diese zu patchen – ein Kompromiss, der zu nicht koordinierten Offenlegungen führen kann.
Die Offenlegung von Schwachstellen ist ein klassisches Beispiel für eine negative externe Wirkung, da ein Dritter die nachteiligen Auswirkungen der Offenlegung trägt. In der Softwarekontext kann die Offenlegung von Schwachstellen durch eine Entität Kosten für andere Softwarebenutzer verursachen, da böswillige Hacker die Schwachstellen ausnutzen können. Anbieter tragen erhebliche Patchkosten, um Patches schnell zu entwickeln, zu testen und zu veröffentlichen, und Softwarebenutzer tragen Kosten, um diese Patches anzuwenden, um sich zu schützen. Aufgrund dieser Trade-offs und Externalitäten ist der Umgang mit Schwachstellen schon immer herausfordernd gewesen.
Ethical Hacker (EHs) sind eine besondere Gruppe von Softwarebenutzern, die bestrebt sind, Schwachstellen zu finden, ohne sie auszunutzen. Wenn EHs Schwachstellen entdecken, möchten sie, dass die Anbieter sie schnell beheben und transparent sind. Aufgrund der hohen Kosten für die Entwicklung schneller Patches würden Anbieter sich eher langsam bewegen und nicht viele Details offenlegen. Daher haben EHs und Anbieter manchmal unterschiedliche Ziele. Diese nicht übereinstimmenden Anreize haben zu Auseinandersetzungen zwischen Anbietern und EHs geführt.
Um diese Probleme anzugehen, schlagen wir einen mehrdimensionalen Ansatz vor, der Transparenz fördert, ohne die Vorteile von BBPs zu untergraben. Obwohl BBP-Plattformen gut positioniert sind, um Offenlegungsrichtlinien festzulegen, fehlt es ihnen an ausreichender Durchsetzungskraft, da Anbieter leicht BBPs wechseln können, wenn die Bedingungen ungünstig werden. Da diese Verzögerungen und Nichtoffenlegungen negative Externalitäten erzeugen, werden Marktkräfte allein nicht ausreichen, um ausreichende Transparenz zu fördern, was staatliches Eingreifen notwendig macht.
Quelle: http://cacm.acm.org/opinion/balancing-secrecy-and-transparency-in-bug-bounty-programs/
