Jó hír az új esztendőre: itt az EU-s bug bounty program. Idén már 15 szoftverben lehet biztonsági réseket keresni – pénzért.

Mint azt korábban megírtuk, az OpenSSL-ben 2014-ben felfedezett súlyos biztonsági rés, a Heartbleed fenyitotta az Európai Unió döntéshozóinak szemét.

Alaposan megfontolták, mielőtt beindították

Az Európai Bizottság Informatikai Főigazgatóságának (DIGIT – Directorate-General for Informatics) felügyelete alatt indították be a FOSSA (Free and Open Source Software Auditing) projektet, és ennek keretében két széles körben használt programra, az Apache HTTP Server Core-ra és KeePass jelszókezelőre hirdetett hibakereső programot. A kísérlet első szakasza, amire egymillió eurós jutalmazási keretet biztosított az EU, sikeres volt, így 2017-re megduplázták az összeget.

Emellett a FOSSA projekt keretében pontos leltárt is készítettek az EU által használt nyílt forráskódú szoftverekről. A távlati terv ugyanis már akkor az volt, hogy elindítanak egy általános bug bounty programot. A program januártól indul, és első körben 15 nyílt forráskódú szoftverben lehet vadászni biztonsági rések után.

Értelemszerűen ezek olyan szoftverek, melyeket az EU-s intézményekben használnak. A program kialakítása a cégeknél már jó bevált rendszert követi: a hiba súlyosságától függ az elnyerhető pénzjutalom mértéke, és mindig csak az első felfedezőnek jár a jutalom. Abban sem jár külön úton az EU, hogy a már bevált hibavadászplatformokra támaszkodik, a programban két partnere van, a Hackerone és az Intigriti.

Ezekben a programokra kell kutatni

Előbbi oldalán fut a Filezilla, az Apache Kafka, a Notepad++, a PuTTY, a VLC Media Player és a midPoint hibavadász programja. Az Integriti platformja kapta a FLUX TL, a KeePass, a 7-zip, a Digital Signature Services (DSS), a Drupal, a GNU C Library (glibc), a PHP Symfony, az Apache Tomcat és a WSO2 programjának bonyolítását.

A 15 programból januárban 14-re indítják el a bug bounty programot, de a midPoint esetében márciusig kell várniuk az etikus hackereknek. Minden egyes szoftver esetében meghatározták az egy hibáért kifizethető legmagasabb díjat. A legtöbbet a PuTTY-val lehet keresni: egy kritikus hiba 90 ezer eurót ér. A Drupal is hasonló elbírálás alá esik (89 ezer euró). Kiemelkedően jól fizet még a KeePass és a Notepad++ (71 ezer euró a fizethető díj maximuma). A legkevesebbet a DSS-ben talált hibákkal lehet keresni, de ott is elérheti a díj a 25 ezer eurót.

A program iránt érdeklődők itt találnak bővebb információkat.

Biztonság

Ellepték a bűnözők a Telegramot

Úgy tűnik, a titkosított üzenetküldőn könnyebb és biztonságosabb a törvénytelen üzleteket lebonyolítani, mint a dark weben.
 
Nyakunkon a ransomware 2.0, de szerencsére van ellenszer az elődeinél fejlettebb fenyegetésekre.

a melléklet támogatója az Euro One

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.