Több mint egy tucat EU-s bug bounty program indul januárban
Az Európai Bizottság egy sor nyílt forrású szoftvernél jutalmat oszt a felfedezett biztonsági hibákért. 2019-ben összesen 15 szoftver vesz részt a programban.
A bug bounty programok leginkább a különböző tech-cégek háza tájáról lehetnek ismerősek, azok keretében a vállalatok sokszor tekintélyes pénzjutalmat osztanak a biztonsági szakértőknek, a termékeikben elcsípett sebezhetőségekért. A koncepciót most az EU is átveszi, idén több uniós bug bounty is indul, kifejezetten a nyílt forrású szoftverek esetleges biztonsági réseinek befoltozására.
A kezdeményezés nem teljesen új, a Free and Open Source Software Audit projekt, röviden FOSSA már 2014-ben napvilágot látott az Európai Bizottság gondozásában, válaszul az akkor felbukkant súlyos OpenSSL sebezhetőségekre. A projekt keretében 2015 és 2016 folyamán a szervezet részletes listát készített az általa is használt nyílt forrású megoldásokról, illetve két projekt, az Apache webszerver, illetve a KeePass jelszókezelő kapcsán biztonsági auditot is indított. A kezdeményezést 2017-ben a Bizottság meghosszabbította további három évre, illetve célként az említett bug bounty programok elindítását is kitűzte több fontos szabad szoftveres projektnél, sőt több hackathont is indított, a különböző EU-s szervezetekben dolgozó szoftverfejlesztők, illetve a szabad szoftveres projektek fejlesztőinek összeboronálására.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
2019-cel végre az említett bug bountyk ideje is eljött: az Európai Bizottság összesen 15 ilyen programot indít, ebből 14 már januárban elrajtol, amelyek a különböző EU-s intézményekben is használt szabad szoftveres megoldások tüzetes biztonsági átvilágítására hivatottak ösztökélni a szakértőket. A jutalmazott szoftverek sorát a bizottság saját listája, illetve egy a téma kapcsán korábban kiadott nyilvános kérdőív alapján rakta össze. Ahogy az lenni szokott, a felfedezett sérülékenységekért járó fejpénz mértéke a hiba súlyosságától, illetve az adott szoftver elterjedtségétől is függ.
A frissen rajthoz állított programot a Bizottság a Hackerone, illetve az Intigriti-Deloitte bug bounty platformokkal együttműködve hozta létre. Az első körben kiválasztott 14 szoftver listáját a Filezilla nyitja, ott van benne továbbá az Apache Kafka, a Notepad++, a PuTTY, a VLC, a FLUX TL, a KeePass, a 7-zip, a DSS, a Drupal, a GNU C Library, a PHP Symfony, az Apache Tomcat, a WSO2 és a midPoint is. A legnagyobb összeget a szervezet a PuTTY-ra különítette el, a fejpénz értéke itt eléri a 90 ezer eurót. A szoftverek listájáért, illetve a hozzájuk tartozó jutalmakért érdemes felkeresni Julia Reda, európai parlamenti képviselő weboldalát.