QR code per la pagina originale

Open source, la UE premia i cacciatori di bug

La Commissione Europea premierà i ricercatori di sicurezza che scopriranno eventuali vulnerabilità in 15 software open source, a partire dal 7 gennaio.

,

A partire dal mese di gennaio, la Commissione Europea lancerà una serie di programmi “bug bounty” per alcuni popolari software open source. L’obiettivo è premiare i ricercatori di sicurezza che scopriranno vulnerabilità in 15 applicazioni. L’ammontare della somma di denaro varia in base alla severità del bug e all’importanza del software.

L’idea di assegnare un premio per ogni vulnerabilità scoperta è nata nel 2014, quando sono stati scoperti diversi bug nella libreria OpenSSL utilizzata da molte applicazioni e per la protezione del traffico Internet tramite la crittografia. Molte istituzioni, come la Commissione Europea, sfruttano il software open source per i loro siti, quindi l’europarlamentare Julia Reda ha avviato il progetto FOSSA (Free and Open Source Software Audit) insieme al collega Max Andersson.

Con la prima edizione (2015-2016) è stato effettuato un inventario dei software liberi e verificato come gli sviluppatori gestiscono la sicurezza nelle loro applicazioni. È stato quindi avviato un audit di sicurezza per il web server Apache e il password manager KeePass. Il progetto FOSSA è stato esteso per altri tre anni nel 2017 e il primo bug bounty di FOSSA 2 è stato avviato per VLC Media Player con un budget di 60.000 euro. La Commissione Europea ha inoltre organizzato una serie di hackaton per consentire una maggiore collaborazione tra sviluppatori e istituzioni.

La terza edizione del progetto prevede 15 programmi bug bounty, 14 dei quali inizieranno tra il 7 e il 30 gennaio 2019 (il quindicesimo che riguarda midPoint inizierà il 1 marzo 2019). La somma disponibile è compresa tra 25.000 e 90.000 euro. I software sono: FileZilla, Apache Kafka, Notepad++, PuTTY, VLC Media Player, FLUX TL, KePass, 7-Zip, Digital Signature Services (DSS), Drupal, GNU C Library (glibc), PHP Simfony, Apache Tomcat e WSO2.

I ricercatori di sicurezza dovranno segnalare la presenza di eventuali bug attraverso le piattaforme HackerOne e Intigriti/Deloitte. I programmi termineranno tra il 31 luglio 2019 e il 15 aprile 2020.