Open source, la UE premia i cacciatori di bug

La Commissione Europea premierà i ricercatori di sicurezza che scopriranno eventuali vulnerabilità in 15 software open source, a partire dal 7 gennaio.
La Commissione Europea premierà i ricercatori di sicurezza che scopriranno eventuali vulnerabilità in 15 software open source, a partire dal 7 gennaio.
Luca Colantuoni
Pubblicato il 31 dic 2018
Open source, la UE premia i cacciatori di bug

A partire dal mese di gennaio, la Commissione Europea lancerà una serie di programmi “bug bounty” per alcuni popolari software open source. L’obiettivo è premiare i ricercatori di sicurezza che scopriranno vulnerabilità in 15 applicazioni. L’ammontare della somma di denaro varia in base alla severità del bug e all’importanza del software.

L’idea di assegnare un premio per ogni vulnerabilità scoperta è nata nel 2014, quando sono stati scoperti diversi bug nella libreria OpenSSL utilizzata da molte applicazioni e per la protezione del traffico Internet tramite la crittografia. Molte istituzioni, come la Commissione Europea, sfruttano il software open source per i loro siti, quindi l’europarlamentare Julia Reda ha avviato il progetto FOSSA (Free and Open Source Software Audit) insieme al collega Max Andersson.

Con la prima edizione (2015-2016) è stato effettuato un inventario dei software liberi e verificato come gli sviluppatori gestiscono la sicurezza nelle loro applicazioni. È stato quindi avviato un audit di sicurezza per il web server Apache e il password manager KeePass. Il progetto FOSSA è stato esteso per altri tre anni nel 2017 e il primo bug bounty di FOSSA 2 è stato avviato per VLC Media Player con un budget di 60.000 euro. La Commissione Europea ha inoltre organizzato una serie di hackaton per consentire una maggiore collaborazione tra sviluppatori e istituzioni.

La terza edizione del progetto prevede 15 programmi bug bounty, 14 dei quali inizieranno tra il 7 e il 30 gennaio 2019 (il quindicesimo che riguarda midPoint inizierà il 1 marzo 2019). La somma disponibile è compresa tra 25.000 e 90.000 euro. I software sono: FileZilla, Apache Kafka, Notepad++, PuTTY, VLC Media Player, FLUX TL, KePass, 7-Zip, Digital Signature Services (DSS), Drupal, GNU C Library (glibc), PHP Simfony, Apache Tomcat e WSO2.

I ricercatori di sicurezza dovranno segnalare la presenza di eventuali bug attraverso le piattaforme HackerOne e Intigriti/Deloitte. I programmi termineranno tra il 31 luglio 2019 e il 15 aprile 2020.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Ti consigliamo anche

DuckDuckGo lancia Scam Blocker per una navigazione sicura
Antivirus

DuckDuckGo lancia Scam Blocker per una navigazione sicura
AGCOM mette in guardia contro le truffe legate a Piracy Shield
Web e Social

AGCOM mette in guardia contro le truffe legate a Piracy Shield
Violazione massiva dei dati: 16 miliardi di credenziali esposte
Antivirus

Violazione massiva dei dati: 16 miliardi di credenziali esposte
Oltre il 50% dello spam via e-mail è generato dall'intelligenza artificiale
Antivirus

Oltre il 50% dello spam via e-mail è generato dall'intelligenza artificiale
Link copiato negli appunti