Jó hír az új esztendőre: itt az EU-s bug bounty program. Idén már 15 szoftverben lehet biztonsági réseket keresni – pénzért.

Mint azt korábban megírtuk, az OpenSSL-ben 2014-ben felfedezett súlyos biztonsági rés, a Heartbleed fenyitotta az Európai Unió döntéshozóinak szemét.

Alaposan megfontolták, mielőtt beindították

Az Európai Bizottság Informatikai Főigazgatóságának (DIGIT – Directorate-General for Informatics) felügyelete alatt indították be a FOSSA (Free and Open Source Software Auditing) projektet, és ennek keretében két széles körben használt programra, az Apache HTTP Server Core-ra és KeePass jelszókezelőre hirdetett hibakereső programot. A kísérlet első szakasza, amire egymillió eurós jutalmazási keretet biztosított az EU, sikeres volt, így 2017-re megduplázták az összeget.

Emellett a FOSSA projekt keretében pontos leltárt is készítettek az EU által használt nyílt forráskódú szoftverekről. A távlati terv ugyanis már akkor az volt, hogy elindítanak egy általános bug bounty programot. A program januártól indul, és első körben 15 nyílt forráskódú szoftverben lehet vadászni biztonsági rések után.

Értelemszerűen ezek olyan szoftverek, melyeket az EU-s intézményekben használnak. A program kialakítása a cégeknél már jó bevált rendszert követi: a hiba súlyosságától függ az elnyerhető pénzjutalom mértéke, és mindig csak az első felfedezőnek jár a jutalom. Abban sem jár külön úton az EU, hogy a már bevált hibavadászplatformokra támaszkodik, a programban két partnere van, a Hackerone és az Intigriti.

Ezekben a programokra kell kutatni

Előbbi oldalán fut a Filezilla, az Apache Kafka, a Notepad++, a PuTTY, a VLC Media Player és a midPoint hibavadász programja. Az Integriti platformja kapta a FLUX TL, a KeePass, a 7-zip, a Digital Signature Services (DSS), a Drupal, a GNU C Library (glibc), a PHP Symfony, az Apache Tomcat és a WSO2 programjának bonyolítását.

A 15 programból januárban 14-re indítják el a bug bounty programot, de a midPoint esetében márciusig kell várniuk az etikus hackereknek. Minden egyes szoftver esetében meghatározták az egy hibáért kifizethető legmagasabb díjat. A legtöbbet a PuTTY-val lehet keresni: egy kritikus hiba 90 ezer eurót ér. A Drupal is hasonló elbírálás alá esik (89 ezer euró). Kiemelkedően jól fizet még a KeePass és a Notepad++ (71 ezer euró a fizethető díj maximuma). A legkevesebbet a DSS-ben talált hibákkal lehet keresni, de ott is elérheti a díj a 25 ezer eurót.

A program iránt érdeklődők itt találnak bővebb információkat.

Biztonság

Ott tartunk, hogy már a robotok munkahelye sincs biztonságban

Kirúgták a szobalányokat és a londinereket a világ első, robotok által működtetett szállodájából. A recepciósok egyelőre maradnak.
 
Kétségtelenül nagy jövő előtt állnak a HCI platformok, hiszen már eddig is számos helyzetben bizonyítottak. Ugyanakkor nem mindenkinek csodaszer; az alábbi dolgokra érdemes odafigyelni.

a melléklet támogatója a Cisco Systems

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.