欧盟将从今年开始为14个开源项目提供漏洞赏金计划

欧盟委员会日前已经宣布推出免费和开源软件审计项目,为多款知名开源软件提供851,000欧元的漏洞赏金。 其中14款开源软件漏洞赏金猎人计划从本月7日开始,剩余 midPoint 身份管理平台漏洞赏金从3月1日开始。 该开源软件审计项目由欧盟托管给布鲁塞尔众包安全平台Intigrity 以及 HackerOne 等协调并接收漏洞报告。

这14个项目按字母顺序排列为7-zip,Apache Kafka,Apache Tomcat,数字签名服务(DSS),Drupal,Filezilla,FLUX TL,GNU C库(glibc),KeePass,midPoint,Notepad ++,PuTTY, Symfony PHP框架,VLC媒体播放器和WSO2。

作为免费和开源软件审计(FOSSA)项目第三版的一部分,错误赏金计划正在赞助。

欧盟当局在2015年首次批准了FOSSA,此前安全研究人员在一年前发现了OpenSSL库中的严重漏洞,OpenSSL库是许多网站用来支持HTTPS连接的开源项目。

“这个问题让很多人意识到自由和开源软件对于互联网和其他基础设施的完整性和可靠性有多么重要,”Reda在她的声明中说。“像许多其他组织一样,欧洲议会,理事会和委员会等机构都建立在自由软件的基础上,以运行他们的网站和其他许多东西。”

第一个FOSSA版本在2015年至2016年期间作为试点项目运行,初始预算为100万欧元。欧盟对欧盟办事处和官员使用的最受欢迎的开源项目进行了盘点,他们进行了公开调查,以决定应该为哪些项目提供安全审计。选择了两个项目,Apache HTTP Web服务器和KeePass密码管理器。

FOSSA 2在整个2017年作为VLC Media Player应用程序的HackerOne上的bug赏金计划运行。该计划获得了200万欧元的资金,但臭虫赏金计划的预算上限为60,000欧元。

合计高达851,000欧元赏金:668万元人民币

欧盟对于本次开源软件审计计划也有重点倾向,例如用户量最大的 Putty 终端连接工具最高奖金达9万欧元。 开源免费的内容管理系统Drupal最高奖金8.9万欧元,知名开源编辑器Notepad++的最高奖金为7.1万欧元。 其他软件的奖金在2.5万欧元~5.8 万欧元间,具体视研究人员提交的漏洞严重情况但奖励不会超过最高上限。

欧盟希望自己能更放心的用着开源软件

欧盟的开源软件审计项目最初由海盗党欧洲议会议员茱莉亚和绿党环保部门安德森提出构想并最终成功实现。 该项目首先会列出欧盟委员会使用的免费软件清单,并检查这些软件开发商是如何处理其产品中的安全问题。 欧盟还准备开展黑客马拉松计划让欧盟内的软件开发者与自由软件项目的开发者更紧密的合作提高安全性等。 当然虽然名义上是欧盟为自己使用的开源软件提高安全性,但最终全球所有用户也都可以使用更安全的产品。

软件项目 奖金上限/欧元 开始时间 结束时间 提交平台
Filezilla 58.000,00 € 07/01/2019 15/08/2019 HackerOne
Apache Kafka 58.000,00 € 07/01/2019 15/08/2019 HackerOne
Notepad++ 71.000,00 € 07/01/2019 15/08/2019 HackerOne
PuTTY 90.000,00 € 07/01/2019 15/12/2019 HackerOne
VLC Media Player 58.000,00 € 07/01/2019 15/08/2019 HackerOne
FLUX TL 34.000,00 € 15/01/2019 15/10/2019 Intigriti/Deloitte
KeePass 71.000,00 € 15/01/2019 31/07/2019 Intigriti/Deloitte
7-zip 58.000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
Digital Signature Services (DSS) 25.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Drupal 89.000,00 € 30/01/2019 15/10/2020 Intigriti/Deloitte
GNU C Library (glibc) 45.000,00 € 30/01/2019 15/12/2019 Intigriti/Deloitte
PHP Symfony 39.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Apache Tomcat 39.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
WSO2 58.000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
midPoint 58.000,00 € 01/03/2019 15/08/2019 HackerOne

评论

发表评论

此字段内容将保密,不会被其他人看见。