FOSSA: A União Européia financiará programas de recompensa de bugs para 14 projetos de código aberto, de acordo com a deputada da UE Julia Reda.
Os 14 projetos são alfabeticamente os aplicativos mais conhecidos:
7-zip, Apache Kafka, Apache Tomcat, Serviços de assinatura digital (DSS), Drupal, Filezilla, FLUX TL, GNU C Library (glibc), KeePass, midPoint, Notepad ++, PuTTY, framework PHP Symfony, VLC Media Player e WS .
Os programas de recompensa de bugs (programas de detecção de erros no código do aplicativo) são financiados sob a terceira versão do projeto de auditoria de software livre e de código aberto (FOSSA).
As autoridades da UE aprovaram o FOSSA pela primeira vez em 2015, quando pesquisadores de segurança descobriram um ano antes vulnerabilidades sérias na biblioteca OpenSSL, um projeto de código aberto usado por sites (e não apenas) para oferecer suporte a conexões HTTPS.
“A questão conscientizou muitas pessoas da importância do software livre e do software de código aberto para a integridade e confiabilidade da Internet e outras infra-estruturas”, disse Reda em comunicado.
Como muitas outras organizações, instituições como o Parlamento Europeu, o Conselho Europeu e a Comissão Europeia confiam no Software Livre para a operação de seus sites.
A primeira versão do FOSSA foi testada entre 2015 e 2016, com um orçamento inicial de 1 milhão de euros. A UE registrou os projetos de código aberto mais populares usados pelos escritórios e funcionários da UE e realizou uma pesquisa pública para decidir quais deles deveriam ser financiados. Dois projetos foram selecionados, o servidor da web Apache e o gerenciador de senhas do KeePass.
O FOSSA 2 ocorreu em 2017 como um bug de recompensa no HackerOne para o aplicativo VLC Media Player. O programa recebeu financiamento de 2 milhões de euros.
Agora, a FOSSA está retornando à sua terceira versão com orçamentos para 14 programas de bounty bug. Os orçamentos mais altos são para o aplicativo PuTTY e o aplicativo da web Drupal CMS.
| Programas | Financiamento | Começo | Termo | Bug Bounty Platform |
|---|---|---|---|---|
| Filezilla | € 58.000,00 | 01/01/2019 | 15/08/2019 | HackerOne |
| Apache Kafka | € 58.000,00 | 01/01/2019 | 15/08/2019 | HackerOne |
| Notepad ++ | € 71.000,00 | 01/01/2019 | 15/08/2019 | HackerOne |
| PuTTY | € 90.000,00 | 01/01/2019 | 15/12/2019 | HackerOne |
| VLC Media Player | € 58.000,00 | 01/01/2019 | 15/08/2019 | HackerOne |
| FLUX TL | € 34.000,00 | 15/01/2019 | 15/10/2019 | Intigriti / Deloitte |
| KeePass | € 71.000,00 | 15/01/2019 | 31/07/2019 | Intigriti / Deloitte |
| 7 zip | € 58.000,00 | 30/01/2019 | 15/04/2020 | Intigriti / Deloitte |
| Serviços de assinatura digital (DSS) | € 25.000,00 | 30/01/2019 | 15/10/2019 | Intigriti / Deloitte |
| Drupal | € 89.000,00 | 30/01/2019 | 15/10/2020 | Intigriti / Deloitte |
| Biblioteca GNU C (glibc) | € 45.000,00 | 30/01/2019 | 15/12/2019 | Intigriti / Deloitte |
| PHP Symfony | € 39.000,00 | 30/01/2019 | 15/10/2019 | Intigriti / Deloitte |
| Apache Tomcat | € 39.000,00 | 30/01/2019 | 15/10/2019 | Intigriti / Deloitte |
| WSO2 | € 58.000,00 | 30/01/2019 | 15/04/2020 | Intigriti / Deloitte |
| midPoint | € 58.000,00 | 01/03/2019 | 15/08/2019 | HackerOne |
Portanto, a partir de janeiro, pesquisadores e empresas de segurança podem perseguir vulnerabilidades nos projetos de código aberto acima. Ao relatar possíveis erros nos aplicativos acima, eles poderão ganhar recompensas em dinheiro da UE, desde que os erros que eles descobriram sejam críticos.
__________________
