Persze csak azoknál a projekteknél, melyeknél ezt a fejlesztők nem tudják megtenni. Tavaly már volt egy sikeres pilot.

Három éve egy meglehetősen komoly biztonsági rést az OpenSSL-ben. A Heartbleed néven ismertté vált biztonsági résnek komoly hatása volt a biztonságról alkotott felfogásunkra. A hiba, amely kiterjedtsége miatt szinte mindenkit érintett, elindított olyan folyamatot, amely hosszabb távon pozitívan befolyásolhatja a nyílt forráskódú fejlesztések megítélését.

Hibavadászok EU-támogatással

Az EU az OpenSSL-probléma hatására indított egy kísérleti programot, hogy javítson azoknak a nyílt forráskódú szoftvereknek a biztonságán, melyeket például állami szervek, közintézmények használnak, illetve nagyon sok felhasználó gépén megtalálhatók. Az EU az Európai Bizottság mellett működő Informatikai Főigazgatóság (DIGIT – Directorate-General for Informatics) felügyelete alatt működő FOSSA (Free and Open Source Software Auditing) keretében kísérletképpen két széles körben használt programra, a Apache HTTP Server Core-ra és KeePass jelszókezelőre hirdetett bug bounty programot. A tavaly lezárult, 1 millió eurós projekt annyira sikeresnek bizonyult, hogy az Európai Parlament az idei évre megduplázta az összeget.

Az induló pénz csak részben ment a kódellenőrzés támogatására. Sokat költöttek egy szoftverleltár létrehozására a legelterjedtebb nyílt forráskódú alkalmazásokból, valamint a módszertan és a keretrendszer kidolgozására is.

Az első kedvezményezett a VLC Player

Összességében az EU teljes költségvetéséhez viszonyítva szabad szemmel alig látható az a 2 millió euró, amely az idén elmegy a hibavadászat kiterjesztésére. Ráadásul ennek csak töredékét fordítják a hibavadász etikus hackerek díjazására. A bug bounty programok összefogására alkalmas keretrendszerre egyébként a nyáron írtak ki egy 60 ezer eurós nyílt közbeszerzési pályázatot.

A napokban megszületett az első döntés is, hogy melynek kedvezményezettje a VLC Media Player. A népszerű médialejátszó és program minden szempontból megfelel a követelményeknek: nyílt forráskódú, ingyenes, széles körben elterjedt – és fejlesztőinek nincs kellő erőforrása arra, hogy erős tesztelői háttérrel biztosítsák a program biztonsági réseinek mielőbbi feltárását.

Az egyes hibákért 100 és 3000 euró közötti összeget fizetnek. A hibavadász program kereteit biztosító HackerOne oldalán (ott egyébként dollárban szerepelnek a hibákért járó díjak) a részletes leírás szerint egy kritikus sebezhetőség díjazása 2000 dollárról indul. A hibavadászoknak a az ilyen programokban szokásos feltételeket el kell fogadniuk, például azt, hogy egy adott hibáért csak az első beküldő kap pénzt.

Biztonság

Így kell adatot törölni a GDPR szellemében

Nemzeti szinten eddig is szigorú rendelkezések vonatkoztak az érzékeny adatok megsemmisítésére, de az Európai Unió Általános Adatvédelmi Rendeletének hatályba lépése után senki sem kerülheti el az információtörlés folyamatos feladatát.
 
Hirdetés

Ezért vannak biztonságban személyes adataink a felhőben

Nyakunkon az új európai adatvédelmi rendelet bevezetésének határideje, ami minden, adatkezelést végző vállalatra vonatkozik. A felhőszolgáltatók azonban elébe mentek a GDPR-nak.

A GDPR miatt elvileg változik az adatok életciklusa, de a gyakorlatban nem feltétlenül. Aminek viszont kellene változnia, az a hazai szabályozás. Ezen a téren viszont nem állunk jól.

a melléklet támogatója az Aruba Cloud

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.