Szerző: Hlács Ferenc

2019. január 2. 09:30

Több mint egy tucat EU-s bug bounty program indul januárban

Az Európai Bizottság egy sor nyílt forrású szoftvernél jutalmat oszt a felfedezett biztonsági hibákért. 2019-ben összesen 15 szoftver vesz részt a programban.

A bug bounty programok leginkább a különböző tech-cégek háza tájáról lehetnek ismerősek, azok keretében a vállalatok sokszor tekintélyes pénzjutalmat osztanak a biztonsági szakértőknek, a termékeikben elcsípett sebezhetőségekért. A koncepciót most az EU is átveszi, idén több uniós bug bounty is indul, kifejezetten a nyílt forrású szoftverek esetleges biztonsági réseinek befoltozására.

A kezdeményezés nem teljesen új, a Free and Open Source Software Audit projekt, röviden FOSSA már 2014-ben napvilágot látott az Európai Bizottság gondozásában, válaszul az akkor felbukkant súlyos OpenSSL sebezhetőségekre. A projekt keretében 2015 és 2016 folyamán a szervezet részletes listát készített az általa is használt nyílt forrású megoldásokról, illetve két projekt, az Apache webszerver, illetve a KeePass jelszókezelő kapcsán biztonsági auditot is indított. A kezdeményezést 2017-ben a Bizottság meghosszabbította további három évre, illetve célként az említett bug bounty programok elindítását is kitűzte több fontos szabad szoftveres projektnél, sőt több hackathont is indított, a különböző EU-s szervezetekben dolgozó szoftverfejlesztők, illetve a szabad szoftveres projektek fejlesztőinek összeboronálására.

eucom

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

2019-cel végre az említett bug bountyk ideje is eljött: az Európai Bizottság összesen 15 ilyen programot indít, ebből 14 már januárban elrajtol, amelyek a különböző EU-s intézményekben is használt szabad szoftveres megoldások tüzetes biztonsági átvilágítására hivatottak ösztökélni a szakértőket. A jutalmazott szoftverek sorát a bizottság saját listája, illetve egy a téma kapcsán korábban kiadott nyilvános kérdőív alapján rakta össze. Ahogy az lenni szokott, a felfedezett sérülékenységekért járó fejpénz mértéke a hiba súlyosságától, illetve az adott szoftver elterjedtségétől is függ.

A frissen rajthoz állított programot a Bizottság a Hackerone, illetve az Intigriti-Deloitte bug bounty platformokkal együttműködve hozta létre. Az első körben kiválasztott 14 szoftver listáját a Filezilla nyitja, ott van benne továbbá az Apache Kafka, a Notepad++, a PuTTY, a VLC, a FLUX TL, a KeePass, a 7-zip, a DSS, a Drupal, a GNU C Library, a PHP Symfony, az Apache Tomcat, a WSO2 és a midPoint is. A legnagyobb összeget a szervezet a PuTTY-ra különítette el, a fejpénz értéke itt eléri a 90 ezer eurót. A szoftverek listájáért, illetve a hozzájuk tartozó jutalmakért érdemes felkeresni Julia Reda, európai parlamenti képviselő weboldalát.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról