EU financiert bugbounty-programma voor 14 opensourceprojecten

De Europese Unie gaat de rekening betalen voor de bugbounty-programma’s van 14 opensourceprojecten. Dat maakte Europarlementslid Julia Reda van de Piratenpartij bekend.

Het gaat om budgetten die oplopen van 25.000 tot 90.000 euro, afhankelijk van het softwareproject:

  • 7-zip (58.000 euro)
  • Apache Kafka (58.000 euro)
  • Apache Tomcat (39.000 euro)
  • Digital Signature Services (25.000 euro)
  • Drupal (89.000 euro)
  • Filezilla (58.000 euro)
  • FLUX TL (34.000 euro)
  • GNU C Library (45.000 euro)
  • KeePass (71.000 euro)
  • midPoint (58.000 euro)
  • Notepad++ (71.000 euro)
  • PHP Symfony (39.000 euro)
  • PuTTY (90.000 euro)
  • VLC Media Player (58.000 euro)
  • WSO2 (58.000 euro)

Vanaf januari kunnen securitybedrijven, onderzoekers en ethische hackers op jacht naar kwetsbaarheden in bovenstaande projecten, en deze rapporteren om kans te maken op een beloning. De bounties worden uitgereikt via de platformen van HackerOne en Intigriti.

FOSSA

De Europese sponsoring is onderdeel van de derde editie van het Free and Open Source Software Audit (FOSSA)-project. FOSSA werd voor het eerst door de EU goedgekeurd in 2015, nadat beveiligingsonderzoekers een jaar eerder ernstige kwetsbaarheden in de OpenSSL-bibliotheek hadden ontdekt. Dat opensourceproject wordt veel gebruikt voor de ondersteuning van HTTPS.

“Het probleem deed veel mensen beseffen hoe belangrijk opensourcesoftware is voor de integriteit en betrouwbaarheid van het internet en andere infrastructuur. Net als veel andere organisaties, bouwen instellingen zoals het Europees Parlement, de Raad en de Commissie voort op gratis software om hun websites en vele andere dingen te beheren”, zegt Reda in haar aankondiging.

Voor de eerste editie van FOSSA werd als pilootproject 1 miljoen euro opzijgezet voor een security-audit van Apache HTTP en KeePass. FOSSA 2 liep vorig jaar in samenwerking met HackerOne om bugs op te sporen in de populaire mediaspeler VLC. Het programma kreeg 2 miljoen euro financiering, maar het budget voor de bug bounties was beperkt tot 60.000 euro.

Gerelateerd: Cybersecurity in Europa: hoe de EU een internationale security-aanpak uitbouwt