L'Unione europea sta per sponsorizzare 14 programmi di taglie di bug per le vulnerabilità in 14 popolari progetti di software open-source. Il annuncio è stato fatto pochi giorni fa da Julia Reda, che rappresenta il Partito Pirata tedesco al Parlamento europeo.
Il nuovo progetto di taglie è sponsorizzato dal Software Audit Libero e Open Source, o FOSSA.
Così, qual è la terza edizione di Fossa tutto e che cosa significa per i ricercatori di sicurezza?
Terza edizione di Fossa A partire da gennaio 2019
Prima di tutto, vediamo la 14 progetti software che fanno parte del nuovo programma di taglie. L'elenco completo è composto da 7-zip, Apache Kafka, Apache Tomcat, Servizi di firma digitale (DSS), Drupal, Filezilla, FLUX TL, la libreria GNU C (glibc), KeePass, Punto medio, Notepad ++ , PuTTY, il quadro Symfony PHP, VLC Media Player, e WSO2. Come già accennato, le generosità bug sono sponsorizzati dal progetto FOSSA come parte della loro terza edizione.
Il progetto è stato iniziato nel 2015. La sua iniziazione è stata innescata dalla scoperta di difetti gravi nella libreria OpenSSL, come il famigerato la vulnerabilità heartbleed. Come spiegato da Reda nel suo annuncio, “la questione ha fatto un sacco di gente si rende conto di quanto sia importante Software Libero e Open Source è per l'integrità e l'affidabilità di Internet e di altre infrastrutture".
Per quanto riguarda il finanziamento, l'Unione europea sta offrendo $1 milioni di euro per i programmi bug bounty per la 14 aziende elencate sopra, con premi che vanno da $25,000 a $90,000. Alcuni dei programmi continuerà fino all'estate del 2019, e gli altri sono tenuti a eseguire fino alla fine del prossimo anno. Va notato che i pagamenti più alti saranno dati per le vulnerabilità di mastice e Drupal.
Come i ricercatori possono partecipare? esperti interessati saranno invitati a presentare le loro scoperte utilizzando il crowdsourcing piattaforme di sicurezza Intigriti di Deloitte HackerOne e.
Correlata: Più di 150 Vulnerabilità scoperte in siti web US Marine Corp
La prima edizione di Fossa ha avuto luogo tra 2015 e 2016, e ha coinvolto tre grandi sotto-progetti: l'istituzione di un inventario del software libero utilizzato dal Parlamento europeo, un'analisi su come gestire gli sviluppatori di sicurezza, e controlli di sicurezza del web server Apache e il gestore di password KeePass.
FOSSA 2 ha avuto luogo a 2017 come un programma bug bounty su HackerOne appositamente per l'applicazione VLC Media Player. Quest'anno FOSSA torna a coinvolgere la sua terza fase 14 programmi bug bounty. I ricercatori di sicurezza saranno presto in grado di individuare e segnalare falle di sicurezza nei progetti open source. Premi saranno consegnati a coloro le cui relazioni sono approvate, e le patch vengono rilasciate.
Ho Intel e sono una vittima.
Per favore aiuto
Ciao Megan, cosa intendi dicendo che sei una vittima?