Skip to main content
informatikaközigazgatás: külföldön

Az Európai Bizottság hibavadász programot indít nyílt forrású szoftverek biztonsági hibái felderítésére

Szerző: 2019. január 6.No Comments

„Az Európai Bizottság egy sor nyílt forrású szoftvernél jutalmat oszt a felfedezett biztonsági hibákért. 2019-ben összesen 15 szoftver vesz részt a programban.
A hibavadász (bug bounty) programok leginkább a különböző tech-cégek háza tájáról lehetnek ismerősek, azok keretében a vállalatok sokszor tekintélyes pénzjutalmat osztanak a biztonsági szakértőknek, a termékeikben elcsípett sebezhetőségekért. A koncepciót most az EU is átveszi, idén több uniós hibavadász program is indul, kifejezetten a nyílt forrású szoftverek esetleges biztonsági réseinek befoltozására.

A kezdeményezés nem teljesen új, a Free and Open Source Software Audit projekt, röviden FOSSA már 2014-ben napvilágot látott az Európai Bizottság gondozásában, válaszul az akkor felbukkant súlyos OpenSSL sebezhetőségekre. A projekt keretében 2015 és 2016 folyamán a szervezet részletes listát készített az általa is használt nyílt forrású megoldásokról, illetve két projekt, az Apache webszerver, illetve a KeePass jelszókezelő kapcsán biztonsági auditot is indított. A kezdeményezést 2017-ben a Bizottság meghosszabbította további három évre, illetve célként az említett hibavadász program elindítását is kitűzte több fontos szabad szoftveres projektnél, sőt több hackathont is indított, a különböző EU-s szervezetekben dolgozó szoftverfejlesztők, illetve a szabad szoftveres projektek fejlesztőinek összeboronálására.

2019-cel végre az említett hibavadász programok ideje is eljött: az Európai Bizottság összesen 15 ilyen programot indít, ebből 14 már januárban elrajtol, amelyek a különböző EU-s intézményekben is használt szabad szoftveres megoldások tüzetes biztonsági átvilágítására hivatottak ösztökélni a szakértőket. A jutalmazott szoftverek sorát a bizottság saját listája, illetve egy a téma kapcsán korábban kiadott nyilvános kérdőív alapján rakta össze. Ahogy az lenni szokott, a felfedezett sérülékenységekért járó fejpénz mértéke a hiba súlyosságától, illetve az adott szoftver elterjedtségétől is függ.

A frissen rajthoz állított programot a Bizottság a Hackerone, illetve az Intigriti-Deloitte hibavadász platformokkal együttműködve hozta létre. Az első körben kiválasztott 14 szoftver listáját a Filezilla nyitja, ott van benne továbbá az Apache Kafka, a Notepad++, a PuTTY, a VLC, a FLUX TL, a KeePass, a 7-zip, a DSS, a Drupal, a GNU C Library, a PHP Symfony, az Apache Tomcat, a WSO2 és a midPoint is. A legnagyobb összeget a szervezet a PuTTY-ra különítette el, a fejpénz értéke itt eléri a 90 ezer eurót. A szoftverek listájáért, illetve a hozzájuk tartozó jutalmakért érdemes felkeresni Julia Reda, európai parlamenti képviselő weboldalát.

Forrás:
Több mint egy tucat EU-s bug bounty program indul januárban; Hlács Ferenc; HWSW.hu; 2019. január 2.