1. April 2025

GitHub: Studie zu Entwicklern und Sicherheitsforschern

Eine neue Studie des GitHub Security Lab liefert Einblicke in die Beziehung zwischen Entwicklern und Sicherheitsforschern während des Prozesses der Offenlegung von Sicherheitslücken. [...]

GitLab-Studie_w492_h312 — (c) github.blog

Im Dezember 2020 hat GitLab angekündigt, dass es seine Forschung ausweiten will, um mehr über die Beziehung zwischen der Entwickler- und der Sicherheitsforschungsgemeinschaft zu erfahren. Die Beziehung zwischen Entwicklern und Sicherheitsforschern war in der Vergangenheit manchmal angespannt. Um diese Dynamik besser zu verstehen, hat GitLab seine Forschung auf den Prozess der Offenlegung von Schwachstellen konzentriert, bei dem beide Gemeinschaften zusammenarbeiten müssen, um potenzielle Bedrohungen zu beseitigen.

Derzeit gibt es keinen Standardprozess zur Offenlegung von Schwachstellen für die breitere Sicherheitsforschungsgemeinschaft. Stattdessen haben Einrichtungen wie Googles Project Zero, das GitHub Security Lab, Snyk, HackerOne und VuSec ihre eigenen Verfahren zur Offenlegung von Schwachstellen. In einem System, dem es an Einheitlichkeit mangelt, kann das Verständnis der Beziehungen zwischen den Beteiligten zu effektiveren Maßnahmen zur Behebung von Schwachstellen führen, was letztlich zu einem sichereren und kooperativeren Ökosystem führt.

Das GitHub Security Lab hat zwischen November 2020 und März 2021 qualitative Umfragen unter Open-Source-Maintainern per Ferninterview durchgeführt Die berichteten Ergebnisse sind in drei Kategorien unterteilt:

Dynamiken zwischen Maintainern und Sicherheitsforschern: Die Maintainer, die an der Studie teilgenommen haben, hatten über den Prozess der Offenlegung von Sicherheitslücken hinaus wenig bis gar keinen Kontakt zur Sicherheitsforschungsgemeinschaft. Während die Interaktionen, die stattfanden, positiv sein konnten, empfanden viele Maintainer die Sicherheitsforschungsgemeinschaft nicht als besonders einladend. Trotzdem sind die Maintainer offen dafür, grundlegende Informationen über die Sicherheitsforschung zu erfahren.
Kommunikationspräferenzen der Maintainer: Wenn sie Meldungen über Sicherheitslücken erhalten, erleben die Maintainer typischerweise eine Reihe von Emotionen, einschließlich Angst und Stress; sie sind jedoch dankbar für konstruktives Feedback, das ihnen über private Kanäle mitgeteilt wird.
Die Wahrnehmung des Meldungsprozesses durch die Betreuer: Um den Schweregrad der bei ihnen eingehenden Meldungen zu bestimmen, gaben die Betreuer an, zunächst die Auswirkungen zu bewerten. Sie erwarteten nicht, dass Sicherheitsforscher Ratschläge zur Behebung von Schwachstellen geben, waren aber dankbar, wenn diese angeboten wurden. Die Teilnehmer fühlten sich in der Regel in der Lage, potenzielle Schwachstellen innerhalb der üblichen 90-Tage-Frist für die koordinierte Offenlegung zu beheben.

Den gesamten Report finden Sie hier.

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.

Digitale Fähigkeiten der Österreicher:innen lassen zu wünschen übrig

1. April 2025

39 Prozent der Beschäftigten in Österreich arbeiten nur selten mit digitalen Tools. Dabei ist klar: die Digitalisierung betrifft immer mehr Jobs. Vor diesem Hintergrund fühlt sich nur etwa jeder Achte hierzulande sehr gut auf die Herausforderungen der Arbeitswelt von morgen vorbereitet. Das sind die Ergebnisse der repräsentativen kununu Arbeitsmarktstudie, für die über 3.000 Beschäftigte in Österreich befragt wurden. […]

Mehrheit der Unternehmen könnte den Geschäftsbetrieb nach einer Cyberattacke nicht weiterführen

1. April 2025

Den Backups gilt sowohl die Sorge der Securityverantworlichen als auch die Aufmerksamkeit der Hacker. So zeigt die global durchgeführte ESG-Commvault-Studie „Preparedness Gap: Why Cyber-Recovery Demands a Different Approach From Disaster Recovery“, dass nur jedes fünfte Unternehmen weltweit zuversichtlich ist, nach einer Cyberattacke seine Geschäftsprozesse weiterführen zu können. […]

KI und Cybersicherheit eröffnen dem Channel Wachstumschancen

1. April 2025

Der Bericht „State of the Channel 2025“ zeigt, dass die Nachfrage nach künstlicher Intelligenz im gesamten Channel gestiegen ist, insbesondere bei umsatzgenerierenden Aktivitäten. 53 Prozent der in der DACH-Region befragten Unternehmen betrachten die komplexer werdende Technologie als wichtigsten Faktor für die Kundennachfrage nach Knowhow im Channel. […]

Check Point integriert CloudGuard in Nutanix Cloud Platform

1. April 2025

Check Point will mit der Kollaboration den Herausforderungen begegnen, denen sich Unternehmen bei der Migration hin zu Cloud-Infrastrukturen gegenübersehen. Durch die Nutzung des Nutanix Service Insertion Frameworks und die Unterstützung des AHV-Hypervisors bietet CloudGuard eine konsistente Durchsetzung von Sicherheitsrichtlinien und Transparenz bezüglich Bedrohungen. […]

Phishing ist die größte Cyberbedrohung

1. April 2025 Markus Selinger *

Es gibt viele Techniken für einen Cyberangriff auf private Anwender oder Unternehmen. Aber die Methode Nummer 1 ist Phishing in all seinen vielen Varianten. Wir erklären Ihnen, wie zehn besonders perfide Phishing-Arten funktionieren. […]

Marion Vöhr leitet das Geschäftsfeld „Public, Healthcare & Utilities“ bei msg Plaut Austria. (c) mag Plaut

Marion Vöhr leitet Public-Bereich bei msg Plaut Austria

31. März 2025 pi/cb

Vöhr (39) leitet seit Anfang des Jahres das Geschäftsfeld „Public, Healthcare & Utilities“ bei msg Plaut Austria. Sie verantwortet das Geschäft mit Kunden aus den Bundes-, Landes- und Kommunalverwaltungen, Ministerien sowie öffentlichen Betrieben und Organisationen in den Bereichen IT, Healthcare und Energie. […]

Frank DeBenedetto, GTM General Manager Backup bei Kaseya. (c) Kaseya

Backup reicht nicht aus: Disaster Recovery als Schlüssel zur Resilienz

31. März 2025 Frank DeBenedetto*

Der Zugriff auf Daten und deren Sicherung sind für jedes Unternehmen geschäftskritisch. Ein exklusiver Gastbeitrag von Frank DeBenedetto, Kaseya. […]

Sebastian Gierlinger, VP of Engineering bei Storyblok (c) Storyblok

EU-Barrierefreiheitsgesetz: Warum Unternehmen jetzt handeln müssen

31. März 2025 Christof Baumgartner

Die Frist für digitale Barrierefreiheit naht. Sebastian Gierlinger, VP of Engineering bei Storyblok, erklärt im Interview mit ITWELT.at, wie Unternehmen diese Herausforderungen angehen können, welche Chancen Barrierefreiheit bietet und wie moderne Technologien wie Headless CMS einen spürbaren Unterschied machen. […]

PAM statt BAM: So verhindert Privileged-Access-Management den großen Cyber-Knall

31. März 2025

Auch wenn es noch keinen konkreten Termin gibt, ab wann NIS-2 offiziell greift, warnt Andreas Müller, VP Enterprise Sales Central and Eastern Europe bei Delinea, vor der NIS-2-Prokrastination. Sein Tipp: Jetzt mit der Implementierung essenzieller Lösungen und Prozesse beginnen – mit besonderem Augenmerk auf Passwort-, Identitäts- und Zugriffsmanagement. […]

GitHub: Studie zu Entwicklern und Sicherheitsforschern

Eine neue Studie des GitHub Security Lab liefert Einblicke in die Beziehung zwischen Entwicklern und Sicherheitsforschern während des Prozesses der Offenlegung von Sicherheitslücken. [...]

Mehr Artikel

Digitale Fähigkeiten der Österreicher:innen lassen zu wünschen übrig

Mehrheit der Unternehmen könnte den Geschäftsbetrieb nach einer Cyberattacke nicht weiterführen

KI und Cybersicherheit eröffnen dem Channel Wachstumschancen

Check Point integriert CloudGuard in Nutanix Cloud Platform

Phishing ist die größte Cyberbedrohung

Marion Vöhr leitet Public-Bereich bei msg Plaut Austria

Backup reicht nicht aus: Disaster Recovery als Schlüssel zur Resilienz

EU-Barrierefreiheitsgesetz: Warum Unternehmen jetzt handeln müssen

PAM statt BAM: So verhindert Privileged-Access-Management den großen Cyber-Knall

Be the first to comment

Leave a Reply Antworten abbrechen