Suche

Pizza Engineering

Daniel Scherrer 11. Juli 2022

Die Kolumne von Daniel Scherrer.

Wer seine Pizza mit Ananas belegt, ist ein Sünder vor dem grossen Pizzaiolo. Als Softwareentwickler weiss ich das genau, denn meine Pizza lieb ich nur nach original italienischem Rezept. Ich habe ja ein inniges Verhältnis zum Käse-Tomaten-Fladen, schliesslich leb ich davon in langen, einsamen Programmiernächten zwischen Stapeln von leeren Pizzaboxen. Klischeealarm.

Moderne Entwickler sind alles andere als einsame Nerds. Sie müssen intensiv zusammenarbeiten mit den Kolleginnen und Kollegen aus dem Business, der Verwaltung, mit Spezialisten und Codern. Sie brauchen die Übersicht über Prozesse und Fachwissen, sie müssen sich zudem seit einiger Zeit den vielfältigen Herausforderungen der digitalen Kriminalität stellen. Und sie müssen ihre Ideen und Produkte mit Transparenz belegen.

Diesen neuen Ansatz pflegen wir mit unserem ersten Abraxas Bug-Bounty-Programm für das Ergebnisermittlungssystem der Kantone SG und TG. Seit dem 23. Mai 2022 versuchen handverlesene Security Researcher unsere Software zu knacken. Wir wollen wissen, ob unsere Software Schwachstellen enthält, die die Ermittlung der Resultate von Wahl- und Abstimmungssonntagen gefährden und das Vertrauen in die Demokratie erschüttern könnten.

Bereits nach wenigen Wochen sorgt das Programm für positive Veränderungen. Wir haben unser Abraxas Security Framework entworfen und definiert. Entwicklerteams anderer Komponenten stimmen sich mit uns ab und wollen ebenfalls aktiver mit der Community der Security-Researcherinnen und -Researcher zusammenarbeiten; interne Webinare zeigen ein hohes Interesse für das Thema. Ich werde immer wieder auf das Programm angesprochen und gefragt, ob es nicht mutig sei, das eigene Programm bewusst Angriffen auszusetzen. Ich antworte dann immer: Mutig ist es, seine Fehler verstecken zu wollen. Sie werden nämlich früher oder später gefunden. Besser, in der kontrollierten Umgebung eines Bug-Bounty-Programms.

Daniel Scherrer

Über Daniel Scherrer

Daniel Scherrer ist Chief Software Architect bei Abraxas. Er plant und entwickelt Software konsequent entlang bewährter und sicherer Methoden. Er leitet das Abraxas Bug-Bounty-Programm.

Lesen Sie jetzt

  • Erwünschte Hebelwirkung

    Das private Abraxas-Bug-Bounty-Programm neigt sich dem Ende zu. Bisher hat es im Sinne der Ausschreibung kein Finding ergeben, das als «critical» eingestuft werden musste. Dafür positive Effekte der anderen Art. Ab dem 22. August 2022 startet das öffentlich zugängliche Programm.
    Peter Gassmann
    Peter Gassmann // Leiter Solution Engineering
    22.08.2022 Bounty
    Weiterlesen
  • So läuft die Jagd nach den Bounties

    In wenigen Wochen ist es soweit: Das neue Ergebnisermittlungssystem der Kantone SG und TG wird vom Private ins Public Bug-Bounty-Programm überführt. Zeit für eine erste Bilanz. Das Interesse der Security Researcher ist stark gestiegen. Dennoch sind die bisher eingetroffenen Findings vor allem unkritischer Natur.
    Daniel Scherrer
    Daniel Scherrer // Chief Software Architect
    03.08.2022 Bounty
    Weiterlesen