Innovatie & Strategie

Security
Drupal-logo

Drupal looft bugbeloningen uit, dankzij EU-subsidie

Bug bounty tot wel 15.000 euro uitgeloofd voor bugs in Drupal 7 en 8.

© Drupal
4 april 2019

Bug bounty tot wel 15.000 euro uitgeloofd voor bugs in Drupal 7 en 8.

Het Drupal Security Team roept op tot publieke bughunts en beloont aangemelde programmeerfouten met 350 tot 15.000 euro per stuk. Het beveiligingsteam van dit open source CMS gebruikt hiervoor financiering vanuit de Europese Commissie (EU-FOSS). Hoe serieuzer het lek, hoe meer het Drupal Security Team zal uitkeren.

Het premieprogramma van Drupal staat open voor iedereen, meldt de Nederlandse site van het open source CMS. Hoewel, daar gelden toch enkele logische uitzonderingen voor. Zo zijn Drupal-bijdragers buitengesloten, zoals project maintainers maar ook mensen die grote bijdragen aan het dit open source-project leveren. Daarnaast geldt er een buitensluiting voor het premieprogramma voor bugs in code die mensen zelf hebben gemaakt of ingediend voor opname in Drupal. Tot slot is het ook leden van het eigen securityteam niet toegestaan om mee te doen, net zoals medewerkers de over de administratie en uitbetaling van de bug bounties gaan.

In scope en buiten scope

Internationaal is dit bug bounty-programma eerder dit jaar al aangekondigd door Drupal.org. Het startschot is dan ook al gegeven. Bugs die sinds 29 januari dit jaar zijn aangemeld, komen in aanmerking voor de geldelijke beloning. De scope van het te belonen bugs-onderzoek is in Drupal 7 Core en Drupal 8 Core, en daarnaast nog de 5 procent van de meestgebruikte contrib-projecten. Voor laatstgenoemde categorie geldt wel dat die stabiele releases moeten hebben én dat ze gedekt zijn door het beleid van het Drupal security team.

Libraries van derde partijen vallen buiten de scope van het Drupal-premieprogramma, ook als ze meegeleverd worden met Drupal Core of met contributed projecten. Voor uitleg van de aanmeldingsprocedure inclusief de correcte wijze van bug-rapportage geeft de Drupal-site meer uitleg. Een van de belangrijkste punten is dat het testen van beveiligingslekken moet gebeuren op een zelf geïnstalleerde, lokale installatie. Het is expliciet níet toegestaan om tests uit te voeren op live Drupal-sites, benadrukt Drupal.

Verboden extern te testen

"Elke test op elke Drupal-site die niet door jou wordt gecontroleerd (lokaal of op je eigen server) wordt automatisch verworpen en je account wordt geblokkeerd voor verdere uitkeringen", aldus de uitleg. Overigens zijn bepaalde soorten beveiligingslekken uitgesloten van het beloningsprogramma van Drupal. Dit omvat onder meer fingerprinting op gemeenschappelijke publieke services, clickjacking en problemen die alleen via clickjacking zijn te misbruiken, en Cross-Site Request Forgery bij uitloggen (logout CSRF). Opvallend is ook het genoemde punt van "Andere uitzonderingen die niet zijn opgesomd".

Lees meer over Innovatie & Strategie OP AG Intelligence
1
Reacties
NumoQuest 07 april 2019 06:30

Ehhhh

Waarom zou je de moeite doen om te testen als dat alleen maar online kan en niet middels lokaal gedownload? Ik lees ook niet echt iets over een bug-definitie. Vallen security issues hier dan buiten?

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.