Jó hír az új esztendőre: itt az EU-s bug bounty program. Idén már 15 szoftverben lehet biztonsági réseket keresni – pénzért.

Mint azt korábban megírtuk, az OpenSSL-ben 2014-ben felfedezett súlyos biztonsági rés, a Heartbleed fenyitotta az Európai Unió döntéshozóinak szemét.

Alaposan megfontolták, mielőtt beindították

Az Európai Bizottság Informatikai Főigazgatóságának (DIGIT – Directorate-General for Informatics) felügyelete alatt indították be a FOSSA (Free and Open Source Software Auditing) projektet, és ennek keretében két széles körben használt programra, az Apache HTTP Server Core-ra és KeePass jelszókezelőre hirdetett hibakereső programot. A kísérlet első szakasza, amire egymillió eurós jutalmazási keretet biztosított az EU, sikeres volt, így 2017-re megduplázták az összeget.

Emellett a FOSSA projekt keretében pontos leltárt is készítettek az EU által használt nyílt forráskódú szoftverekről. A távlati terv ugyanis már akkor az volt, hogy elindítanak egy általános bug bounty programot. A program januártól indul, és első körben 15 nyílt forráskódú szoftverben lehet vadászni biztonsági rések után.

Értelemszerűen ezek olyan szoftverek, melyeket az EU-s intézményekben használnak. A program kialakítása a cégeknél már jó bevált rendszert követi: a hiba súlyosságától függ az elnyerhető pénzjutalom mértéke, és mindig csak az első felfedezőnek jár a jutalom. Abban sem jár külön úton az EU, hogy a már bevált hibavadászplatformokra támaszkodik, a programban két partnere van, a Hackerone és az Intigriti.

Ezekben a programokra kell kutatni

Előbbi oldalán fut a Filezilla, az Apache Kafka, a Notepad++, a PuTTY, a VLC Media Player és a midPoint hibavadász programja. Az Integriti platformja kapta a FLUX TL, a KeePass, a 7-zip, a Digital Signature Services (DSS), a Drupal, a GNU C Library (glibc), a PHP Symfony, az Apache Tomcat és a WSO2 programjának bonyolítását.

A 15 programból januárban 14-re indítják el a bug bounty programot, de a midPoint esetében márciusig kell várniuk az etikus hackereknek. Minden egyes szoftver esetében meghatározták az egy hibáért kifizethető legmagasabb díjat. A legtöbbet a PuTTY-val lehet keresni: egy kritikus hiba 90 ezer eurót ér. A Drupal is hasonló elbírálás alá esik (89 ezer euró). Kiemelkedően jól fizet még a KeePass és a Notepad++ (71 ezer euró a fizethető díj maximuma). A legkevesebbet a DSS-ben talált hibákkal lehet keresni, de ott is elérheti a díj a 25 ezer eurót.

A program iránt érdeklődők itt találnak bővebb információkat.

Biztonság

Nehéz jelzőket találni az Nvidia teljesítményére

Az MI-csipek iránti keresletnek köszönhetően egy év alatt közel duplázódott a bevétel. Mindezt úgy, hogy már a tavaly ilyenkori eredmény sem volt gyenge...
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.