Vsi blog zapisi

EU najavila “bug bountije” za odkrivanje napak v svobodnem programju

8. January, 2019
Objavljeno v kategoriji: Evropska Unija, Tehnologija, Tuji Pirati

Kar nekaj časa je minilo, odkar sem nazadnje pisala o projektu Free and Open Source Software Audit, FOSSA (projekt revizije svobodne in odprtokodne programske opreme), zato bom začela s kratko obnovo, katero lahko seveda preskočite, v kolikor ste na tekočem glede projekta.

Kaj se je dogajalo do sedaj?

Leta 2014 so bile odkrite varnostne pomanjkljivosti v pomembnih projektih svobodne programske opreme. Ena izmed težav je bila najdena v odprtokodni šifrirni knjižnici OpenSSL. Ta vrsta programske opreme se imenuje knjižnica, ker velikemu številu drugih programov omogoča dostop do standardnih funkcij. Posledično so vsi povezani programi nosili posledice napak v knjižnici.

Ker je OpenSSL poleg tega tudi zelo pomemben pri šifriranju internetnega prometa, je ključen za zaščito vaše zasebne komunikacije ali podatkov o plačilu, ko kupujete preko spleta.

Zaradi razkritja te težave se je veliko ljudi začelo zavedati, kako pomembna je svobodna in odprtokodna programska oprema za integriteto in zanesljivost interneta ter druge infrastrukture. Tako kot številne druge organizacije, tudi institucije, kot so Evropski parlament, svet in komisija, uporabljajo svobodno programsko opremo pri grajenju svojih spletnih strani in številnih drugih zadev. Vendar internet ni ključen le za naše gospodarstvo in upravo, temveč je infrastruktura, ki poganja naš vsakdan. Preko njega dostopamo do informacij in se politično udejstvujemo.

Zato sva s kolegom Maxom Anderssonom začela projekt Free and Open Source Software Audit: FOSSA.

FOSSA

Med leti 2015 – 2016 je prva različica FOSSA projekta naredila inventuro svobodne programske opreme, na katero se zanaša Evropska komisija. Prav tako se je analiziralo, kako se razvijalci programske opreme soočajo z varnostjo pri svojih projektih. Na dveh projektih (spletni server Apache in upravljalec gesel KeePass) pa je bila opravljena revizija.

FOSSA 2

Leta 2017 je bil projekt podaljšan za tri leta. Takrat smo se odločili, da gremo korak dlje in smo na seznam ukrepov za povečanje varnosti brezplačne in odprtokodne programske opreme dodali izplačevanje nagrad za odkrivanje napak (Bug Bounty) pri pomembnih projektih brezplačne programske opreme.

Načrtovali smo tudi serijo “hackathonov”, ki bi omogočili razvijalcem programske opreme znotraj EU institucij in razvijalcem iz projektov svobodne programske opreme, da bolje sodelujejo in skupaj delajo neposredno na svoji programski opremi.

FOSSA Bug Bounties

Januarja je Evropska komisija razglasila 14 od 15 “bug bountijev” na svobodni programski opremi, na katero se zanašajo EU institucije. “Bug bounty” je nagrada za tiste, ki aktivno iščejo varnostne pomanjkljivosti. Višina nagrade je odvisna od tega, kako huda je odkrita pomanjkljivost in relativne pomembnosti programske opreme. Projekti programske opreme, ki so bili izbrani, so bili vnaprej izbrani kot kandidati iz inventarjev in preko javne ankete.

K spodaj navedenim projektom lahko prispevate s tem, da analizirate programsko opremo in nam pošljete kakršnekoli napake ali pomanjkljivosti, ki jih najdete preko bug bounty platforme. Tukaj je seznam projektov programske opreme in ‘bug bountijev’:

PROJEKT PROGRAMSKE OPREME BUG BOUNTY ZNESEK (EURO) ZAČETNI DATUM KONČNI DATUM BUG BOUNTY PLATFORMA
Filezilla 58.000,00 € 07/01/2019 15/08/2019 HackerOne
Apache Kafka 58.000,00 € 07/01/2019 15/08/2019 HackerOne
Notepad++ 71.000,00 € 07/01/2019 15/08/2019 HackerOne
PuTTY 90.000,00 € 07/01/2019 15/12/2019 HackerOne
VLC Media Player 58.000,00 € 07/01/2019 15/08/2019 HackerOne
FLUX TL 34.000,00 € 15/01/2019 15/10/2019 Intigriti/Deloitte
KeePass 71.000,00 € 15/01/2019 31/07/2019 Intigriti/Deloitte
7-zip 58.000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
Digital Signature Services (DSS) 25.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Drupal 89.000,00 € 30/01/2019 15/10/2020 Intigriti/Deloitte
GNU C Library (glibc) 45.000,00 € 30/01/2019 15/12/2019 Intigriti/Deloitte
PHP Symfony 39.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Apache Tomcat 39.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
WSO2 58.000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
midPoint 58.000,00 € 01/03/2019 15/08/2019 HackerOne

 


Lektor / Prevajalec: Neža Vižintin

* Zapis izraža stališča avtorja in ne nujno tudi Piratske stranke.