Jó hír az új esztendőre: itt az EU-s bug bounty program. Idén már 15 szoftverben lehet biztonsági réseket keresni – pénzért.

Mint azt korábban megírtuk, az OpenSSL-ben 2014-ben felfedezett súlyos biztonsági rés, a Heartbleed fenyitotta az Európai Unió döntéshozóinak szemét.

Alaposan megfontolták, mielőtt beindították

Az Európai Bizottság Informatikai Főigazgatóságának (DIGIT – Directorate-General for Informatics) felügyelete alatt indították be a FOSSA (Free and Open Source Software Auditing) projektet, és ennek keretében két széles körben használt programra, az Apache HTTP Server Core-ra és KeePass jelszókezelőre hirdetett hibakereső programot. A kísérlet első szakasza, amire egymillió eurós jutalmazási keretet biztosított az EU, sikeres volt, így 2017-re megduplázták az összeget.

Emellett a FOSSA projekt keretében pontos leltárt is készítettek az EU által használt nyílt forráskódú szoftverekről. A távlati terv ugyanis már akkor az volt, hogy elindítanak egy általános bug bounty programot. A program januártól indul, és első körben 15 nyílt forráskódú szoftverben lehet vadászni biztonsági rések után.

Értelemszerűen ezek olyan szoftverek, melyeket az EU-s intézményekben használnak. A program kialakítása a cégeknél már jó bevált rendszert követi: a hiba súlyosságától függ az elnyerhető pénzjutalom mértéke, és mindig csak az első felfedezőnek jár a jutalom. Abban sem jár külön úton az EU, hogy a már bevált hibavadászplatformokra támaszkodik, a programban két partnere van, a Hackerone és az Intigriti.

Ezekben a programokra kell kutatni

Előbbi oldalán fut a Filezilla, az Apache Kafka, a Notepad++, a PuTTY, a VLC Media Player és a midPoint hibavadász programja. Az Integriti platformja kapta a FLUX TL, a KeePass, a 7-zip, a Digital Signature Services (DSS), a Drupal, a GNU C Library (glibc), a PHP Symfony, az Apache Tomcat és a WSO2 programjának bonyolítását.

A 15 programból januárban 14-re indítják el a bug bounty programot, de a midPoint esetében márciusig kell várniuk az etikus hackereknek. Minden egyes szoftver esetében meghatározták az egy hibáért kifizethető legmagasabb díjat. A legtöbbet a PuTTY-val lehet keresni: egy kritikus hiba 90 ezer eurót ér. A Drupal is hasonló elbírálás alá esik (89 ezer euró). Kiemelkedően jól fizet még a KeePass és a Notepad++ (71 ezer euró a fizethető díj maximuma). A legkevesebbet a DSS-ben talált hibákkal lehet keresni, de ott is elérheti a díj a 25 ezer eurót.

A program iránt érdeklődők itt találnak bővebb információkat.

Biztonság

Eladó az óriási genetikai adatbázis, kérdés, ki lesz a vevő és mit kezd vele

A nálunk is ismert 23andMe csődjét követően a tudósok remélik, hogy az új tulajdonos is hozzáférést biztosít nekik a 15 millió korábbi ügyfél genetikai adataihoz. Mások inkább amiatt aggódnak, hogy ki mindenki érdeklődhet még az értékes adatkészlet iránt.
 
Körképünkben áttekintjük, hogy szűkebb és bővebb környezetünkben mit sikerült elérni a digitális gazdaság és életvitel felé vezető úton. Spolier: nem állunk olyan rosszul, mint gondolná, és nem állunk olyan jól, mint szeretné.

a melléklet támogatója a One Solutions

CIO KUTATÁS

AZ IRÁNYÍTÁS VISSZASZERZÉSE

Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?

Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!

Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.