FOSSA: Η Ευρωπαϊκή Ένωση θα χρηματοδοτήσει bug bounty προγράμματα για 14 projects ανοιχτού κώδικα, σύμφωνα την βουλευτή της ΕΕ Julia Reda.
Τα 14 projects είναι αλφαβητικά οι γνωστές εφαρμογές:
7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, the GNU C Library (glibc), KeePass, midPoint, Notepad++, PuTTY, Symfony PHP framework, VLC Media Player, και WSO2.
Τα bug bounty προγράμματα (προγράμματα ανεύρεσης σφαλμάτων στον κώδικα των εφαρμογών) χρηματοδοτούνται στο πλαίσιο της τρίτης έκδοσης του project Ελεύθερου Λογισμικού και Ελέγχου Λογισμικού Ανοικτού Κώδικα (Free and Open Source Software Audit ή απλά FOSSA).
Οι αρχές της ΕΕ ενέκριναν για πρώτη φορά το FOSSA το 2015, όταν ερευνητές ασφαλείας ανακάλυψαν ένα έτος νωρίτερα σοβαρές ευπάθειες στη βιβλιοθήκη OpenSSL, ένα project ανοιχτού κώδικα που χρησιμοποιούν οι ιστοσελίδες (και όχι μόνο) για την υποστήριξη συνδέσεων HTTPS.
“Το θέμα έκανε πολλούς να συνειδητοποιήσουν πόσο σημαντικό είναι το Ελεύθερο Λογισμικό και το Λογισμικό Ανοικτού Κώδικα για την ακεραιότητα και την αξιοπιστία του Διαδικτύου και άλλων υποδομών”, δήλωσε η Reda στην ανακοίνωσή της.
Όπως πολλοί άλλοι οργανισμοί, ιδρύματα όπως το Ευρωπαϊκό Κοινοβούλιο, το Ευρωπαϊκό Συμβούλιο και η Ευρωπαϊκή Επιτροπή βασίζονται στο Ελεύθερο Λογισμικό για τη λειτουργία των ιστοτόπων τους.
Η πρώτη έκδοση της FOSSA διεξήχθη πιλοτικά μεταξύ 2015 και 2016, με αρχικό προϋπολογισμό 1 εκατομμύριο ευρώ. Η ΕΕ κατέγραψε τα πιο δημοφιλή projects ανοιχτού κώδικα που χρησιμοποιούνται από τα γραφεία και τους υπαλλήλους της ΕΕ και πραγματοποίησαν δημόσια έρευνα για να αποφασίσουν ποιο από αυτά θα πρέπει να χρηματοδοτήσουν. Επιλέχθηκαν δύο projects, ο διακομιστής web Apache και ο διαχειριστής κωδικών πρόσβασης KeePass.
Το FOSSA 2 πραγματοποιήθηκε το 2017 σαν bounty bug στο HackerOne για την εφαρμογή VLC Media Player. Το πρόγραμμα έλαβε χρηματοδότηση ύψους 2 εκατομμυρίων ευρώ.
Τώρα, η FOSSA επιστρέφει για την τρίτη της έκδοση με προϋπολογισμούς για 14 προγράμματα bounty bug. Οι υψηλότεροι προϋπολογισμοί προορίζονται για την εφαρμογή PuTTY και την web εφαρμογή Drupal CMS.
| Software | Χρηματοδότηση | Έναρξη | Λήξη | Bug Bounty Platform |
|---|---|---|---|---|
| Filezilla | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
| Apache Kafka | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
| Notepad++ | 71.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
| PuTTY | 90.000,00 € | 07/01/2019 | 15/12/2019 | HackerOne |
| VLC Media Player | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
| FLUX TL | 34.000,00 € | 15/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| KeePass | 71.000,00 € | 15/01/2019 | 31/07/2019 | Intigriti/Deloitte |
| 7-zip | 58.000,00 € | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
| Digital Signature Services (DSS) | 25.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| Drupal | 89.000,00 € | 30/01/2019 | 15/10/2020 | Intigriti/Deloitte |
| GNU C Library (glibc) | 45.000,00 € | 30/01/2019 | 15/12/2019 | Intigriti/Deloitte |
| PHP Symfony | 39.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| Apache Tomcat | 39.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| WSO2 | 58.000,00 € | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
| midPoint | 58.000,00 € | 01/03/2019 | 15/08/2019 | HackerOne |
Έτσι από τον Ιανουάριο, ερευνητές και εταιρείες ασφάλειας μπορούν να κυνηγήσουν τρωτά σημεία στα παραπάνω projects ανοιχτού κώδικα. Αναφέροντας πιθανές ευπάθειες (bugs) στις εφαρμογές που υπάρχουν παραπάνω, θα μπορούν να κερδίσουν χρηματικές αμοιβές από την ΕΕ, εφόσον τα σφάλματα που ανακάλυψαν είναι κρίσιμα.
__________________
- Google: παραχώρησε το Duck.com στην DuckDuckGo
- HWiNFO : Ένα δωρεάν πρόγραμμα εποπτείας του υπολογιστή σας
- Καταγραφή οθόνης σε βίντεο με το VLC media player
- Απενεργοποιήστε τα μηνύματα αποδοχής των cookies
- Open Source: με ποιους τρόπους άλλαξε τον κόσμο
