Bug Resilience Project: Work Package 3: Manage a bug bounty program
SprinD GmbH
The contractor will develop a working concept based on the following criteria:-
- Manage the day to day operations of the STF Bug and Fix Bounty Program
- Handle intake and coordination of projects based on the criteria set by STF for supported projects (FOSS Infrastructure and Basis Digital Technologies)
- Manage communication, triage, evaluation and payment of bug bounties and fix bounties
- Provide a post-engagement evaluation for future preventative maintenance if required.
Die Frist für den Eingang der Angebote war 2023-05-11. Die Ausschreibung wurde veröffentlicht am 2023-04-25.
AnbieterDie folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Wer? Wie?- • IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung › Softwareprogrammierung und -beratung
Geschichte der Beschaffung
| Datum | Dokument |
|---|---|
| 2023-04-25 | Auftragsbekanntmachung |
| 2026-04-28 | Bekanntmachung über vergebene Aufträge |
Auftragsbekanntmachung (2023-04-25)
Objekt
Umfang der Beschaffung
Titel: Softwareprogrammierung und -beratung
Referenznummer: STF-23-8
Kurze Beschreibung:
Metadaten der Bekanntmachung
Originalsprache: Englisch 🗣️
Dokumenttyp: Auftragsbekanntmachung
Art des Auftrags: Dienstleistungen
Verordnung: Europäische Union, mit GPA-Beteiligung
Gemeinsames Vokabular für öffentliche Aufträge (CPV)
Code: Softwareprogrammierung und -beratung 📦
Ort der Leistung
NUTS-Region: Leipzig, Kreisfreie Stadt 🏙️
Verfahren
Verfahrensart: Verhandlungsverfahren
Angebotsart: Angebot für alle Lose
Vergabekriterien
Wirtschaftlichstes Angebot
Öffentlicher Auftraggeber
Identität
Land: Deutschland 🇩🇪
Art des öffentlichen Auftraggebers: Agentur/Amt auf zentral- oder bundesstaatlicher Ebene
Name des öffentlichen Auftraggebers: SPRIND GmbH
Postleitzahl: 10557
Postort: Leipzig
Kontakt
Internetadresse: https://sovereigntechfund.de/de/ 🌏
E-Mail: leo.lerch@mazars.de 📧
URL der Dokumente: https://www.dtvp.de/Satellite/notice/CXP4YWL6ZF5/documents 🌏
URL der Teilnahme: https://www.dtvp.de/Satellite/notice/CXP4YWL6ZF5 🌏
Referenz
Daten
Absendedatum: 2023-04-25 📅
Einreichungsfrist: 2023-05-11 📅
Veröffentlichungsdatum: 2023-04-28 📅
Kennungen
Bekanntmachungsnummer: 2023/S 084-254565
ABl. S-Ausgabe: 84
Zusätzliche Informationen
Bekanntmachungs-ID: CXP4YWL6ZF5
Objekt
Umfang der Beschaffung
Kurze Beschreibung:
Dauer: 18 Monate
Beschreibung der Verlängerungen: The contract runs for 18 months. The term can be extended up to 48 months.
Verfahren
Rechtsgrundlage: 32014L0024
Beschleunigtes Verfahren:
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Englisch 🗣️
Gültigkeitsdauer des Angebots: 2023-07-31 📅
Öffentlicher Auftraggeber
Kontakt
Dokumente URL: https://www.dtvp.de/Satellite/notice/CXP4YWL6ZF5/documents 🌏
Ergänzende Informationen
Körper überprüfen
Name: Vergabekammern des Bundes
Postort: Bonn
Land: Deutschland 🇩🇪
Quelle: OJS 2023/S 084-254565 (2023-04-25)
Objekt
Umfang der Beschaffung
Titel: Softwareprogrammierung und -beratung
Referenznummer: STF-23-8
Kurze Beschreibung:
The contractor will develop a working concept based on the following criteria:-
- Manage the day to day operations of the STF Bug and Fix Bounty Program
- Handle intake and coordination of projects based on the criteria set by STF for supported projects (FOSS Infrastructure and Basis Digital Technologies)
- Manage communication, triage, evaluation and payment of bug bounties and fix bounties
- Provide a post-engagement evaluation for future preventative maintenance if required.
Mehr anzeigen
Originalsprache: Englisch 🗣️
Dokumenttyp: Auftragsbekanntmachung
Art des Auftrags: Dienstleistungen
Verordnung: Europäische Union, mit GPA-Beteiligung
Gemeinsames Vokabular für öffentliche Aufträge (CPV)
Code: Softwareprogrammierung und -beratung 📦
Ort der Leistung
NUTS-Region: Leipzig, Kreisfreie Stadt 🏙️
Verfahren
Verfahrensart: Verhandlungsverfahren
Angebotsart: Angebot für alle Lose
Vergabekriterien
Wirtschaftlichstes Angebot
Öffentlicher Auftraggeber
Identität
Land: Deutschland 🇩🇪
Art des öffentlichen Auftraggebers: Agentur/Amt auf zentral- oder bundesstaatlicher Ebene
Name des öffentlichen Auftraggebers: SPRIND GmbH
Postleitzahl: 10557
Postort: Leipzig
Kontakt
Internetadresse: https://sovereigntechfund.de/de/ 🌏
E-Mail: leo.lerch@mazars.de 📧
URL der Dokumente: https://www.dtvp.de/Satellite/notice/CXP4YWL6ZF5/documents 🌏
URL der Teilnahme: https://www.dtvp.de/Satellite/notice/CXP4YWL6ZF5 🌏
Referenz
Daten
Absendedatum: 2023-04-25 📅
Einreichungsfrist: 2023-05-11 📅
Veröffentlichungsdatum: 2023-04-28 📅
Kennungen
Bekanntmachungsnummer: 2023/S 084-254565
ABl. S-Ausgabe: 84
Zusätzliche Informationen
Bekanntmachungs-ID: CXP4YWL6ZF5
Objekt
Umfang der Beschaffung
Kurze Beschreibung:
The contractor will develop a working concept based on the following criteria:-
- Manage the day to day operations of the STF Bug and Fix Bounty Program
- Handle intake and coordination of projects based on the criteria set by STF for supported projects (FOSS Infrastructure and Basis Digital Technologies)
- Manage communication, triage, evaluation and payment of bug bounties and fix bounties
- Provide a post-engagement evaluation for future preventative maintenance if required.
Beschreibung der Verlängerungen: The contract runs for 18 months. The term can be extended up to 48 months.
Verfahren
Rechtsgrundlage: 32014L0024
Beschleunigtes Verfahren:
The process is being carried out as an accelerated procedure because of the urgent need to eliminate and prevent potential security gaps in the digital infrastructure.
Zeitpunkt des Eingangs der Angebote: 12:00
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Englisch 🗣️
Gültigkeitsdauer des Angebots: 2023-07-31 📅
Öffentlicher Auftraggeber
Kontakt
Dokumente URL: https://www.dtvp.de/Satellite/notice/CXP4YWL6ZF5/documents 🌏
Ergänzende Informationen
Körper überprüfen
Name: Vergabekammern des Bundes
Postort: Bonn
Land: Deutschland 🇩🇪
Quelle: OJS 2023/S 084-254565 (2023-04-25)
Bekanntmachung über vergebene Aufträge (2026-04-28)
Objekt
Umfang der Beschaffung
Titel: Änderungsvertrag zur Rahmenvereinbarung "Master Service Agreement" zum Sovereign Tech Resilience Program
Referenznummer:
Kurze Beschreibung:
Art des Vertrags: Dienstleistungen
Produkte/Dienstleistungen: Softwareprogrammierung und -beratung 📦
Geschätzter Wert ohne MwSt: 200 000 EUR 💰
Gesamtwert der Beschaffung (ohne MwSt.): 200 000 EUR 💰
Höchstwert der Rahmenvereinbarungen in dieser Bekanntmachung: 600 000 EUR 💰
Gesamtwert der Beschaffung (ohne MwSt.) (höchstes Angebot): 200 000 💰
Gesamtwert der Beschaffung (ohne MwSt.) (niedrigstes Angebot): 200 000 💰
Sonstige Beschränkungen am Erfüllungsort: Beliebiger Ort
Beschreibung
Interne Kennung:
Zusätzliche Informationen:
Vergabekriterien
Kostenkriterium (Name): Kosten
Titel
Los-Identifikationsnummer:
Verfahren
Art des Verfahrens
Verhandlungsverfahren ohne vorherigen Aufruf zum Wettbewerb ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Zentrale Elemente des Verfahrens: Es handelt sich vorliegend um eine Bekanntmachung im Sinne des § 132 Abs. 5 GWB.
Vergabe eines Auftrags ohne vorherige Veröffentlichung eines Aufrufs zum Wettbewerb im Amtsblatt der Europäischen Union in den nachstehend aufgeführten Fällen
Die Beschaffung fällt nicht in den Anwendungsbereich der Richtlinie ✅
Art des Verfahrens
Vergabe eines Auftrags ohne vorherige Veröffentlichung eines Aufrufs zum Wettbewerb im Amtsblatt der Europäischen Union (Erläuterung):
Informationen über eine Rahmenvereinbarung oder ein dynamisches Beschaffungssystem
Rahmenvereinbarung mit mehreren Betreibern ✅
Auftragsvergabe
Ein Auftrag/Los wird vergeben ✅
Los-Identifikationsnummer:
Vertragsnummer:
Datum des Vertragsabschlusses: 2026-04-28 📅
Titel: Änderungsvertrag zur Rahmenvereinbarung "Master Service Agreement" zum Sovereign Tech Resilience Program
Der Auftrag wird als Teil einer Rahmenvereinbarung vergeben ✅
Informationen über Ausschreibungen
Anzahl der eingegangenen Angebote: 1
Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Höchstes Angebot: 200 000 💰
Niedrigstes Angebot: 200 000 💰
Höchstwert der Rahmenvereinbarung: 600 000 EUR 💰
Neu geschätzter Wert der Rahmenvereinbarung: 600 000 EUR 💰
Gesamtwert des Auftrags/Loses: 200 000 EUR 💰
Kennung des Angebots:
Informationen über die Vergabe von Unteraufträgen
Beschreibung:
Kennung des Loses oder der Gruppe von Losen:
Kurze Beschreibung des Teils des Auftrags, der an Unterauftragnehmer vergeben werden soll:
Der Auftrag wird wahrscheinlich an Unterauftragnehmer vergeben ✅
Name und Anschrift des Auftragnehmers
Name: Yes We Hack, Société par actions simplifiée (simplified joint-stock company)
Nationale Registrierungsnummer:
Postanschrift: 14 rue Charles V
Postleitzahl: 75004
Postort: Paris
Region: Paris 🏙️
Land: Frankreich 🇫🇷
Größe des Wirtschaftsteilnehmers: Mittleres Unternehmen
Öffentlicher Auftraggeber
Name und Adressen
Name: Sovereign Tech Agency GmbH
Nationale Registrierungsnummer:
Postanschrift: Gartenstraße 7
Postleitzahl: 10115
Postort: Berlin
Region: Berlin 🏙️
Land: Deutschland 🇩🇪
Kontaktperson: Friedrich Graf von Westphalen & Partner mbB Rechtsanwälte
E-Mail: sovereign.tech-tenderprocedure@fgvw.de 📧
Telefon: +49 697191890-12 📞
URL: https://www.sovereign.tech/de 🌏
Art des öffentlichen Auftraggebers
Einrichtung des öffentlichen Rechts
Haupttätigkeit
Wirtschaft und Finanzen
Ergänzende Informationen
Zusätzliche Informationen
Name: Vergabekammer des Bundes
Nationale Registrierungsnummer:
Postanschrift: Kaiser-Friedrich-Straße 16
Postleitzahl: 53113
Region: Bonn, Kreisfreie Stadt 🏙️
Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-04-28+02:00 📅
Quelle: OJS 2026/S 084-300024 (2026-04-28)
Objekt
Umfang der Beschaffung
Titel: Änderungsvertrag zur Rahmenvereinbarung "Master Service Agreement" zum Sovereign Tech Resilience Program
Referenznummer:
01/26 - STA
Kurze Beschreibung:
Am 29. September 2023 wurde eine Rahmenvereinbarung mit Yes We Hack, Société par actions simplifiée (simplified joint-stock company), 14 rue Charles V - 75004 Paris, Frankreich, geschlossen. Gegenstand dieser Vereinbarung sind im Rahmen des "Sovereign Tech Resilience Program" zu erbringende Dienstleistungen, welche das Arbeitspaket 3 des Projekts umfassen und die Durchführung eines Bug-Bounty-Programms in teilnehmenden Projekten für freie und quelloffene Software ("FOSS" - free and open-source software) betrifft. Die Rahmenvereinbarung verlängert sich jeweils um ein Jahr, sofern die Sovereign Tech Agency GmbH ("Auftraggeberin") diese nicht zuvor kündigt. Die Rahmenvereinbarung endet spätestens nach vier Jahren Vertragslaufzeit. Die Auftraggeberin hat mit dem hier bekannt gemachten Änderungsvertrag das maximale Auftragsvolumen um 50 % erhöht. Hintergrund ist die Überhäufung der Auftragnehmerin mit offensichtlich maschinengestützten Bug Reports, die eine schnellere Anpassung des Triage-Volumens zur Verifizierung der Reports erforderlich gemacht hat und damit das Abrufvolumen aus der Rahmenvereinbarung schneller erschöpfen wird. Zum Zeitpunkt des Vertragsschlusses Im Jahr 2023 konnte die Auftraggeberin das Ausmaß und die Auswirkungen neuer technologischer Entwicklungen bei maschinengestützter Bug Reports nicht vorhersehen. Der Vertragsgegenstand selbst bleibt unverändert, so dass nur die Menge anzupassen war. Die in dieser Bekanntmachung angegebene Laufzeit des Rahmenvertrages/der Rahmenvereinbarung bezieht sich auf die maximale Laufzeit seit Vertragsschluss, mithin 48 Monate.
Mehr anzeigen
Produkte/Dienstleistungen: Softwareprogrammierung und -beratung 📦
Geschätzter Wert ohne MwSt: 200 000 EUR 💰
Gesamtwert der Beschaffung (ohne MwSt.): 200 000 EUR 💰
Höchstwert der Rahmenvereinbarungen in dieser Bekanntmachung: 600 000 EUR 💰
Gesamtwert der Beschaffung (ohne MwSt.) (höchstes Angebot): 200 000 💰
Gesamtwert der Beschaffung (ohne MwSt.) (niedrigstes Angebot): 200 000 💰
Sonstige Beschränkungen am Erfüllungsort: Beliebiger Ort
Beschreibung
Interne Kennung:
01/26 - STA
Zusätzliche Informationen:
Die in dieser Bekanntmachung angegebene Laufzeit des Rahmenvertrages/der Rahmenvereinbarung bezieht sich auf die maximale Laufzeit seit Vertragsschluss, mithin 48 Monate.
Dauer: 48 Monate Vergabekriterien
Kostenkriterium (Name): Kosten
Titel
Los-Identifikationsnummer:
LOT-0001
Verfahren
Art des Verfahrens
Verhandlungsverfahren ohne vorherigen Aufruf zum Wettbewerb ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Zentrale Elemente des Verfahrens: Es handelt sich vorliegend um eine Bekanntmachung im Sinne des § 132 Abs. 5 GWB.
Vergabe eines Auftrags ohne vorherige Veröffentlichung eines Aufrufs zum Wettbewerb im Amtsblatt der Europäischen Union in den nachstehend aufgeführten Fällen
Die Beschaffung fällt nicht in den Anwendungsbereich der Richtlinie ✅
Art des Verfahrens
Vergabe eines Auftrags ohne vorherige Veröffentlichung eines Aufrufs zum Wettbewerb im Amtsblatt der Europäischen Union (Erläuterung):
Es handelt sich um eine nicht wesentliche Vertragsänderung nach § 132 Abs. 2 Nr. 3 GWB. Nach dieser Bestimmung ist die Änderung eines öffentlichen Auftrags ohne Durchführung eines neuen Vergabeverfahrens zulässig, wenn die Änderung aufgrund von Umständen erforderlich geworden ist, die der öffentliche Auftraggeber im Rahmen seiner Sorgfaltspflicht nicht vorhersehen konnte, und sich aufgrund der Änderung der Gesamtcharakter des Auftrags nicht verändert. Die Notwendigkeit zur Auftragserweiterung ergibt sich vorliegend aus Umständen, die die Auftraggeberin im Rahmen ihrer Sorgfaltspflicht bei Vergabe des Rahmenvertrags im Jahr 2023 nicht vorhersehen konnte: Die Dynamik im Bereich neuer technologischer Entwicklungen bei maschinengestützter Bug Reports hat sich seit 2023 dramatisch beschleunigt. Die Überhäufung der Auftragnehmerin mit offensichtlich maschinengestützten Bug Reports, die eine schnellere Anpassung des Triage-Volumens zur Verifizierung der Reports erforderlich gemacht hat und damit das Abrufvolumen aus der Rahmenvereinbarung schneller erschöpft, war zum Zeitpunkt des Vertragsschusses im Jahr 2023 für die Auftraggeberin nicht vorhersehbar. Es handelt sich somit um Umstände, die auch bei einer nach vernünftigem Ermessen sorgfältigen Vorbereitung der ursprünglichen Zuschlagserteilung durch die öffentliche Auftraggeberin unter Berücksichtigung der dieser zur Verfügung stehenden Mittel, der Art und Merkmale des spezifischen Projekts der bewährten Praxis im betreffenden Bereich und der Notwendigkeit, ein angemessenes Verhältnis zwischen den bei der Vorbereitung der Zuschlagserteilung eingesetzten Ressourcen und dem absehbaren Nutzen zu gewährleisten, nicht hätten vorausgesagt werden können. Der Gesamtcharakter des Auftrags bleibt durch die Erweiterung unverändert. Die Erweiterung betrifft lediglich den quantitativen Umfang, nicht die Art der Leistungen.
Mehr anzeigen
Rahmenvereinbarung mit mehreren Betreibern ✅
Auftragsvergabe
Ein Auftrag/Los wird vergeben ✅
Los-Identifikationsnummer:
LOT-0001
Vertragsnummer:
01/26 - STA
Datum des Vertragsabschlusses: 2026-04-28 📅
Titel: Änderungsvertrag zur Rahmenvereinbarung "Master Service Agreement" zum Sovereign Tech Resilience Program
Der Auftrag wird als Teil einer Rahmenvereinbarung vergeben ✅
Informationen über Ausschreibungen
Anzahl der eingegangenen Angebote: 1
Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Höchstes Angebot: 200 000 💰
Niedrigstes Angebot: 200 000 💰
Höchstwert der Rahmenvereinbarung: 600 000 EUR 💰
Neu geschätzter Wert der Rahmenvereinbarung: 600 000 EUR 💰
Gesamtwert des Auftrags/Loses: 200 000 EUR 💰
Kennung des Angebots:
01/26 - STA
Informationen über die Vergabe von Unteraufträgen
Beschreibung:
- OVH S.A.S., 2, rue Kellermann, 59100 Roubaix, France; sub-processor is engaged for hosting the Platform (private cloud/dedicated server) in France and for encrypted back-up of dedicated server in Germany; - Scaleway S.A.S, 8, rue de la ville l'évêque, 75008 Paris, France; sub-processor is engaged for encrypted back-up of dedicated server in France.
Mehr anzeigen
LOT-0001
Kurze Beschreibung des Teils des Auftrags, der an Unterauftragnehmer vergeben werden soll:
- OVH S.A.S., 2, rue Kellermann, 59100 Roubaix, France; sub-processor is engaged for hosting the Platform (private cloud/dedicated server) in France and for encrypted back-up of dedicated server in Germany; - Scaleway S.A.S, 8, rue de la ville l'évêque, 75008 Paris, France; sub-processor is engaged for encrypted back-up of dedicated server in France.
Mehr anzeigen
Name und Anschrift des Auftragnehmers
Name: Yes We Hack, Société par actions simplifiée (simplified joint-stock company)
Nationale Registrierungsnummer:
VAT - FR78814037214
Postanschrift: 14 rue Charles V
Postleitzahl: 75004
Postort: Paris
Region: Paris 🏙️
Land: Frankreich 🇫🇷
Größe des Wirtschaftsteilnehmers: Mittleres Unternehmen
Öffentlicher Auftraggeber
Name und Adressen
Name: Sovereign Tech Agency GmbH
Nationale Registrierungsnummer:
DE346614449
Postanschrift: Gartenstraße 7
Postleitzahl: 10115
Postort: Berlin
Region: Berlin 🏙️
Land: Deutschland 🇩🇪
Kontaktperson: Friedrich Graf von Westphalen & Partner mbB Rechtsanwälte
E-Mail: sovereign.tech-tenderprocedure@fgvw.de 📧
Telefon: +49 697191890-12 📞
URL: https://www.sovereign.tech/de 🌏
Art des öffentlichen Auftraggebers
Einrichtung des öffentlichen Rechts
Haupttätigkeit
Wirtschaft und Finanzen
Ergänzende Informationen
Zusätzliche Informationen
#Bekanntmachungs-ID: CXP4D9LMLAJ#
Es handelt sich um eine Bekanntmachung im Sinne des § 132 Abs. 5 GWB.
Körper überprüfen
Name: Vergabekammer des Bundes
Nationale Registrierungsnummer:
t:022894990
Postanschrift: Kaiser-Friedrich-Straße 16
Postleitzahl: 53113
Region: Bonn, Kreisfreie Stadt 🏙️
Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:
Es wird auf § 135 Abs. 1 und Abs. 2 GWB verwiesen: "(1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber 1.gegen § 134 verstoßen hat oder 2.den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist. (2) Die Unwirksamkeit nach Absatz 1 kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union.
Mehr anzeigen
Bevorzugtes Datum der Veröffentlichung: 2026-04-28+02:00 📅
Quelle: OJS 2026/S 084-300024 (2026-04-28)
Neue Beschaffungen in verwandten Kategorien 🆕
- IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (>20 neue Beschaffungen)