Három éve egy meglehetősen komoly biztonsági rést az OpenSSL-ben. A Heartbleed néven ismertté vált biztonsági résnek komoly hatása volt a biztonságról alkotott felfogásunkra. A hiba, amely kiterjedtsége miatt szinte mindenkit érintett, elindított olyan folyamatot, amely hosszabb távon pozitívan befolyásolhatja a nyílt forráskódú fejlesztések megítélését.
Hibavadászok EU-támogatással
Az EU az OpenSSL-probléma hatására indított egy kísérleti programot, hogy javítson azoknak a nyílt forráskódú szoftvereknek a biztonságán, melyeket például állami szervek, közintézmények használnak, illetve nagyon sok felhasználó gépén megtalálhatók. Az EU az Európai Bizottság mellett működő Informatikai Főigazgatóság (DIGIT – Directorate-General for Informatics) felügyelete alatt működő FOSSA (Free and Open Source Software Auditing) keretében kísérletképpen két széles körben használt programra, a Apache HTTP Server Core-ra és KeePass jelszókezelőre hirdetett bug bounty programot. A tavaly lezárult, 1 millió eurós projekt annyira sikeresnek bizonyult, hogy az Európai Parlament az idei évre megduplázta az összeget.
Az induló pénz csak részben ment a kódellenőrzés támogatására. Sokat költöttek egy szoftverleltár létrehozására a legelterjedtebb nyílt forráskódú alkalmazásokból, valamint a módszertan és a keretrendszer kidolgozására is.
Az első kedvezményezett a VLC Player
Összességében az EU teljes költségvetéséhez viszonyítva szabad szemmel alig látható az a 2 millió euró, amely az idén elmegy a hibavadászat kiterjesztésére. Ráadásul ennek csak töredékét fordítják a hibavadász etikus hackerek díjazására. A bug bounty programok összefogására alkalmas keretrendszerre egyébként a nyáron írtak ki egy 60 ezer eurós nyílt közbeszerzési pályázatot.
A napokban megszületett az első döntés is, hogy melynek kedvezményezettje a VLC Media Player. A népszerű médialejátszó és program minden szempontból megfelel a követelményeknek: nyílt forráskódú, ingyenes, széles körben elterjedt – és fejlesztőinek nincs kellő erőforrása arra, hogy erős tesztelői háttérrel biztosítsák a program biztonsági réseinek mielőbbi feltárását.
Az egyes hibákért 100 és 3000 euró közötti összeget fizetnek. A hibavadász program kereteit biztosító HackerOne oldalán (ott egyébként dollárban szerepelnek a hibákért járó díjak) a részletes leírás szerint egy kritikus sebezhetőség díjazása 2000 dollárról indul. A hibavadászoknak a az ilyen programokban szokásos feltételeket el kell fogadniuk, például azt, hogy egy adott hibáért csak az első beküldő kap pénzt.
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
HPE Morpheus VM Essentials: a virtualizáció arany középútja
Minden, amire valóban szükség van, ügyfélbarát licenceléssel és HPE támogatással - a virtualizációs feladatok teljes életciklusát végigkíséri az EURO ONE Számítástástechnikai Zrt.
a melléklet támogatója az EURO ONE
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?