L’UE offre soldi a chi trova bug in progetti open source e di software libero

by Marco Giannini on

La Commissione Europea ha lanciato l'iniziativa FOSSA Bug Bounties finalizzata alla scoperta di bug nei software open source che vengono maggiormente utilizzati nelle infrastrutture IT di Parlamento, Consiglio e Commissione Europea.

FOSSA sta per Free and Open Source Software Audit, un progetto lanciato dagli europarlamentari Julia Reda e Max Andersson qualche anno fa dopo il caso OpenSSL. Lo scopo di questo progetto è quello di garantire maggiore sicurezza nel software software libero utilizzato dalle istituzioni europee.

FOSSA

Durante la prima edizione del progetto FOSSA, svoltasi nel 2015-2016, la Commissione Europea, che gestisce il progetto, ha analizzato alcuni progetto e per due di questi (web server Apache e Keepas) hanno ricevuto un audit sulla sicurezza.

FOSSA 2

Nel 2017, il progetto è stato esteso per altri tre anni. In questa fase è stata aggiunta la sessione di Bug Bounties su importanti progetti di software libero e open source. Inoltre sono stati pianificati una seri di Hackathons che consentiranno agli sviluppatori di software all'interno delle istituzioni dell'UE e agli sviluppatori di progetti di software libero di collaborare più strettamente e di collaborare direttamente al loro software.

FOSSA Bug Bounties

A partire da Gennaio 2019, è stata istituita una caccia ai bug di sicurezza nei software maggiormente utilizzati dalle istituzioni europee. In totale sono 15 i software oggetto di interesse ovvero FileZilla, Apache Kafka, Notepad++, PuTTY, VLC Media Player, FLUX TL, KePass, 7-Zip, Digital Signature Services (DSS), Drupal, GNU C Library (glibc), PHP Simfony, Apache Tomcat e WSO2.

Per ogni bug di sicurezza scovato è prevista una ricompensa in denaro (il dettaglio lo trovate nella tabella qui sotto). Il premio varia a seconda del programma e in relazione alla gravità del bug di sicurezza scovato.
Possiamo contribuire ai seguenti progetti analizzando il software e inviando eventuali bug o vulnerabilità scovate alle piattaforme di bug bug coinvolte. Ecco l'elenco dei software oggetto della caccia al bug:

SOFTWARE PROJECTBUG BOUNTY AMOUNT (EURO)START DATEEND DATEBUG BOUNTY PLATFORM
Filezilla58.000,00 €07/01/201915/08/2019HackerOne
Apache Kafka58.000,00 €07/01/201915/08/2019HackerOne
Notepad++71.000,00 €07/01/201915/08/2019HackerOne
PuTTY90.000,00 €07/01/201915/12/2019HackerOne
VLC Media Player58.000,00 €07/01/201915/08/2019HackerOne
FLUX TL34.000,00 €15/01/201915/10/2019Intigriti/Deloitte
KeePass71.000,00 €15/01/201931/07/2019Intigriti/Deloitte
7-zip58.000,00 €30/01/201915/04/2020Intigriti/Deloitte
Digital Signature Services (DSS)25.000,00 €30/01/201915/10/2019Intigriti/Deloitte
Drupal89.000,00 €30/01/201915/10/2020Intigriti/Deloitte
GNU C Library (glibc)45.000,00 €30/01/201915/12/2019Intigriti/Deloitte
PHP Symfony39.000,00 €30/01/201915/10/2019Intigriti/Deloitte
Apache Tomcat39.000,00 €30/01/201915/10/2019Intigriti/Deloitte
WSO258.000,00 €30/01/201915/04/2020Intigriti/Deloitte
midPoint58.000,00 €01/03/201915/08/2019HackerOne



Leggi il contenuto originale su Marco's Box

Written by: Marco Giannini