A União Europeia está prestes a patrocinador 14 programas de recompensas de bugs para vulnerabilidades em 14 projetos de software de código aberto populares. o anúncio foi feito há poucos dias por Julia Reda, que representa o Partido Pirata Alemão no Parlamento Europeu.
O novo projeto bounty está sendo patrocinado pela Auditoria de Software Livre e de Código Aberto, ou FOSSA.
assim, sobre o que é a terceira edição do FOSSA e o que isso significa para os pesquisadores de segurança?
Terceira edição do FOSSA a partir de janeiro 2019
Em primeiro lugar, vamos ver o 14 projetos de software que fazem parte do novo programa de recompensas. A lista completa consiste em 7-zip, Apache Kafka, Apache Tomcat, Serviços de assinatura digital (DSS), Drupal, Filezilla, FLUX TL, a biblioteca GNU C (glibc), KeePass, midPoint, Notepad ++, PuTTY, o framework Symfony PHP, VLC Media Player, e WSO2. Como já mencionado, os prêmios de bug são patrocinados pelo projeto FOSSA como parte de sua terceira edição.
O projeto foi iniciado pela primeira vez em 2015. Seu início foi desencadeado pela descoberta de falhas graves na biblioteca OpenSSL, como o infame Vulnerabilidade de coração sangrado. Conforme explicado por Reda em seu anúncio, “o problema fez muitas pessoas perceberem a importância do software livre e de código aberto para a integridade e confiabilidade da Internet e de outras infraestruturas”.
Quanto ao financiamento, a União Europeia está oferecendo $1 milhões para os programas de recompensa de insetos para o 14 empresas listadas acima, com recompensas que variam de $25,000 para $90,000. Alguns dos programas continuarão até o verão de 2019, e outros devem funcionar até o final do próximo ano. Deve-se notar que os maiores pagamentos serão feitos por vulnerabilidades no PuTTY e Drupal.
Como os pesquisadores podem participar? Especialistas interessados serão convidados a enviar suas descobertas usando as plataformas de segurança de crowdsourcing Intigriti da HackerOne e da Deloitte.
relacionado: Mais que 150 Vulnerabilidades descobertas em Websites US Marine Corp
A primeira edição da FOSSA ocorreu entre 2015 e 2016, e envolveu três grandes subprojetos: o estabelecimento de um inventário do software livre utilizado pelo Parlamento Europeu, uma análise de como os desenvolvedores lidam com a segurança, e auditorias de segurança do servidor web Apache e do gerenciador de senhas KeePass.
FOSSA 2 aconteceu em 2017 como um programa de recompensa por bug no HackerOne especificamente para o aplicativo VLC Media Player. Este ano a FOSSA retorna em sua terceira fase envolvendo o 14 programas de recompensa de bug. Pesquisadores de segurança em breve serão capazes de localizar e relatar falhas de segurança em projetos de código aberto. As recompensas serão dadas àqueles cujos relatórios forem aprovados, e os patches são lançados.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga:
Eu tenho Intel e sou uma vítima.
Por favor ajude
Oi megan, o que você quer dizer com dizer que é uma vítima?