Három éve egy meglehetősen komoly biztonsági rést az OpenSSL-ben. A Heartbleed néven ismertté vált biztonsági résnek komoly hatása volt a biztonságról alkotott felfogásunkra. A hiba, amely kiterjedtsége miatt szinte mindenkit érintett, elindított olyan folyamatot, amely hosszabb távon pozitívan befolyásolhatja a nyílt forráskódú fejlesztések megítélését.

Hibavadászok EU-támogatással

Az EU az OpenSSL-probléma hatására indított egy kísérleti programot, hogy javítson azoknak a nyílt forráskódú szoftvereknek a biztonságán, melyeket például állami szervek, közintézmények használnak, illetve nagyon sok felhasználó gépén megtalálhatók. Az EU az Európai Bizottság mellett működő Informatikai Főigazgatóság (DIGIT – Directorate-General for Informatics) felügyelete alatt működő FOSSA (Free and Open Source Software Auditing) keretében kísérletképpen két széles körben használt programra, a Apache HTTP Server Core-ra és KeePass jelszókezelőre hirdetett bug bounty programot. A tavaly lezárult, 1 millió eurós projekt annyira sikeresnek bizonyult, hogy az Európai Parlament az idei évre megduplázta az összeget.

Az induló pénz csak részben ment a kódellenőrzés támogatására. Sokat költöttek egy szoftverleltár létrehozására a legelterjedtebb nyílt forráskódú alkalmazásokból, valamint a módszertan és a keretrendszer kidolgozására is.

Az első kedvezményezett a VLC Player

Összességében az EU teljes költségvetéséhez viszonyítva szabad szemmel alig látható az a 2 millió euró, amely az idén elmegy a hibavadászat kiterjesztésére. Ráadásul ennek csak töredékét fordítják a hibavadász etikus hackerek díjazására. A bug bounty programok összefogására alkalmas keretrendszerre egyébként a nyáron írtak ki egy 60 ezer eurós nyílt közbeszerzési pályázatot.

A napokban megszületett az első döntés is, hogy melynek kedvezményezettje a VLC Media Player. A népszerű médialejátszó és program minden szempontból megfelel a követelményeknek: nyílt forráskódú, ingyenes, széles körben elterjedt – és fejlesztőinek nincs kellő erőforrása arra, hogy erős tesztelői háttérrel biztosítsák a program biztonsági réseinek mielőbbi feltárását.

Az egyes hibákért 100 és 3000 euró közötti összeget fizetnek. A hibavadász program kereteit biztosító HackerOne oldalán (ott egyébként dollárban szerepelnek a hibákért járó díjak) a részletes leírás szerint egy kritikus sebezhetőség díjazása 2000 dollárról indul. A hibavadászoknak a az ilyen programokban szokásos feltételeket el kell fogadniuk, például azt, hogy egy adott hibáért csak az első beküldő kap pénzt.