Jó hír az új esztendőre: itt az EU-s bug bounty program. Idén már 15 szoftverben lehet biztonsági réseket keresni – pénzért.

Mint azt korábban megírtuk, az OpenSSL-ben 2014-ben felfedezett súlyos biztonsági rés, a Heartbleed fenyitotta az Európai Unió döntéshozóinak szemét.

Alaposan megfontolták, mielőtt beindították

Az Európai Bizottság Informatikai Főigazgatóságának (DIGIT – Directorate-General for Informatics) felügyelete alatt indították be a FOSSA (Free and Open Source Software Auditing) projektet, és ennek keretében két széles körben használt programra, az Apache HTTP Server Core-ra és KeePass jelszókezelőre hirdetett hibakereső programot. A kísérlet első szakasza, amire egymillió eurós jutalmazási keretet biztosított az EU, sikeres volt, így 2017-re megduplázták az összeget.

Emellett a FOSSA projekt keretében pontos leltárt is készítettek az EU által használt nyílt forráskódú szoftverekről. A távlati terv ugyanis már akkor az volt, hogy elindítanak egy általános bug bounty programot. A program januártól indul, és első körben 15 nyílt forráskódú szoftverben lehet vadászni biztonsági rések után.

Értelemszerűen ezek olyan szoftverek, melyeket az EU-s intézményekben használnak. A program kialakítása a cégeknél már jó bevált rendszert követi: a hiba súlyosságától függ az elnyerhető pénzjutalom mértéke, és mindig csak az első felfedezőnek jár a jutalom. Abban sem jár külön úton az EU, hogy a már bevált hibavadászplatformokra támaszkodik, a programban két partnere van, a Hackerone és az Intigriti.

Ezekben a programokra kell kutatni

Előbbi oldalán fut a Filezilla, az Apache Kafka, a Notepad++, a PuTTY, a VLC Media Player és a midPoint hibavadász programja. Az Integriti platformja kapta a FLUX TL, a KeePass, a 7-zip, a Digital Signature Services (DSS), a Drupal, a GNU C Library (glibc), a PHP Symfony, az Apache Tomcat és a WSO2 programjának bonyolítását.

A 15 programból januárban 14-re indítják el a bug bounty programot, de a midPoint esetében márciusig kell várniuk az etikus hackereknek. Minden egyes szoftver esetében meghatározták az egy hibáért kifizethető legmagasabb díjat. A legtöbbet a PuTTY-val lehet keresni: egy kritikus hiba 90 ezer eurót ér. A Drupal is hasonló elbírálás alá esik (89 ezer euró). Kiemelkedően jól fizet még a KeePass és a Notepad++ (71 ezer euró a fizethető díj maximuma). A legkevesebbet a DSS-ben talált hibákkal lehet keresni, de ott is elérheti a díj a 25 ezer eurót.

A program iránt érdeklődők itt találnak bővebb információkat.

Biztonság

CIO Klub Podcast #62: Aki felkészül, az győz, avagy a kiberbiztonság buktatói

A CIO Hungary 2025 első napjának zárásaként a vállalatok biztonsági kihívásainak kezelési lehetőségeit vitatták meg szakemberek. A beszélgetés felvételével segítünk felidézni a tanulságokat.
 
Hirdetés

A kifizetett energia
60%-a elvész, de egy audit feltárja, hol folyik el a pénzünk

A Schneider Electric energiahatékonysági szolgáltatása átfogó megoldást kínál, amely támogatja a cégek energiahatékonyság-növelési programjaik megvalósításában, az iparágban vezető megoldások, szolgáltatások és szakértők segítségével.

A vállalati IT-rendszerek egyik legnagyobb kihívása ma már nem a hardver beszerzése vagy a szoftverek integrációja, hanem az üzemeltetés. A modern storage-megoldások válasza erre az automatizáció és a menedzsment egyszerűsítése.

a melléklet támogatója az EURO ONE

Hirdetés

Hatékony adattárolás, biztonságosabb működés: HPE storage az EURO ONE szakértelmével

Az adatmennyiség rohamos növekedése, a kritikus üzleti alkalmazások rendelkezésre állási követelményei és a kiberbiztonsági fenyegetések mind olyan tényezők, amelyek túlmutatnak a hagyományos storage-megoldások képességein.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.