EU lancerer bug bounty-program for open source-projekter

Illustration: Europaparlamentet
EU begynder i 2019 at beskytte kritisk it-infrastruktur ved at omfatte udvalgte vigtige open source-programmer i et dusørprogram.

670.000 kroner. Så meget udlover Europa-Parlamentet i dusør, en såkaldt 'bug bounty', for sikkerhedshuller i vigtige open source-programmer. Herunder Drupal, Digital Signature Services (DSS), VLC og PuTTY. Allesammen så vigtige open source-programmer, at Europa-Parlamentet regner dem som en vigtig del af nettets infrastruktur.

»I 2014 blev der fundet sårbarheder i vigtige gratis software-projekter. Et af problemerne blev fundet i open source-krypteringsværktøjet OpenSLL,« skriver Julia Reda, medlem af Tysklands Pirat Parti og medlem af Europa-Parlamentet, på sin hjemmeside.

»Det fik en del mennesker til at indse, hvor vigtig gratis og open source-software er for holdbarheden og pålideligheden i internettet og anden infrastruktur,« skriver hun.

Efterfølgende har hun med sin kollega Max Andersson været med til at starte Free and Open Source Software Audit-projektet FOSSA 2, som skal identificere open source-projekter, der er vigtige for infrastrukturen. Open source-projekter, der er udviklet af ganske få mennesker og som mange andre programmer kan forbedres af et bug bounty-program.

OpenSSL, som er grunden til, at FOSSA 2-programmet startede, er ganske vigtigt. Det er et krypteringsbibliotek for en stor del af internettets tjenester, og det har alvorlige konsekvenser, hvis uopdagede sikkerhedshuller udnyttes. Eksempelvis benyttede Heartbleed-angrebet sig af en svaghed i netop OpenSSL's TLS-protokol.

Læs også: Danmark: 735 offentlige institutioner, private virksomheder og privatpersoners servere er stadig sårbare over for Heartbleed

Store summer for alvorlige fejl

Som en del af projektet har EU nu udlovet bug bounties på 14 open source-projekter, som EU-institutioner benytter sig af. Sagt simpelt virker det ved, at man opdager og dokumenterer et alvorligt problem eller sikkerhedshul, indberetter problemet og modtager en dusør.

»Beløbet i dusøren afhænger af alvoren af det afdækkede problem og den relative vigtighed af softwaren,« skriver Julia Reda

De enkelte bounties starter ved 25.000 euro – over 180.000 kroner – og når så højt som 670.000 kroner, afhængigt af det identificerede problems omfang. De første programmer, som får et dusørprogram, er Filezilla, Apache Kafka, Notepad++, PuTTY og VLC Media Player.

Fundne fejl kan belønnes med mellem 58.000 og 90.000 euro. Denne fase køres under dusør-platformen HackerOne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize