Original-URL des Artikels: https://www.golem.de/news/fossa-eu-erweitert-bug-bounty-programm-fuer-open-souce-software-1901-138456.html    Veröffentlicht: 02.01.2019 12:48    Kurz-URL: https://glm.io/138456

Fossa

EU erweitert Bug-Bounty-Programm für Open-Source-Software

Nachdem die ersten Tests offenbar erfolgreich verlaufen sind, hat die EU ihr Bug-Bounty-Programm für Open-Source-Software für das Jahr 2019 erweitert. Insgesamt stehen dafür rund 900.000 Euro für 15 Projekte bereit.

Im Rahmen des Projekts Free and Open Source Software Auditing der EU (EU-Fossa) sind in der Vergangenheit bereits Code-Audits des Apache-Web-Servers und des Passwortmanagers Keepass durchgeführt worden. Darauf folgte der erste Versuch, mit eigenen Mitteln der EU auch Bug-Bounty-Programme auszuschreiben. Das hat sich offenbar bewährt, so dass die Auslobung von Geldern zum Auffinden von Sicherheitslücken auch im Jahr 2019 aufgelegt wird, wie die Europaabgeordnete Julia Reda (Piraten, Deutschland) in ihrem Blog schreibt.

Das Fossa-Projekt geht ursprünglich auf die Arbeit und Anträge von Reda und ihres Kollegen Max Andersson (Grüne, Schweden) zurück und ist als direkte Reaktion auf die Heartbleed genannte Sicherheitslücke in OpenSSL gegründet worden. Erklärtes Ziel von Fossa ist die Verbesserung der Sicherheit wichtiger und vielfach genutzter Open-Source-Software.

Neben den bereits erwähnten und erfolgreich abgeschlossenen Code-Audits lief vor etwas mehr als einem Jahr ein Probelauf für ein Bug-Bounty-Programm in Kooperation mit der Videolan-Community für den VLC-Player. Dieses wird nun mit einer deutlich erweiterten Software-Auswahl und größerer finanzieller Unterstützung neu aufgelegt.

Laut Reda werden im Januar dieses Jahres Bug-Bounty-Programme für 14 Software-Projekte ausgelobt, die eine unterschiedliche Laufzeit haben. Ab März folgt schließlich ein weiteres Projekt. Forscher und Entwickler erhalten darüber Geld für aufgefundene Sicherheitslücken unter anderem in Filezilla, Notepad++, Putty, dem VLC-Player, 7-Zip, Drupal, PHP Symfony oder auch der Glibc. Abgewickelt werden die Bug-Bountys je nach Projekt entweder über Hackerone oder Intigriti. Insgesamt stehen dafür rund 900.000 Euro bereit, die unterschiedlich auf die Projekte verteilt werden sollen.  (sg)


Verwandte Artikel:
Urheberrecht: EU-Bürger könnten Fair-Use-Ausnahme bekommen   
(13.03.2017, https://glm.io/126674 )
Security: Curl bekommt eigenes Bug-Bounty-Programm   
(21.09.2018, https://glm.io/136704 )
Subdomain Takeover: Verwaiste Domains einfach übernehmen   
(24.07.2018, https://glm.io/135513 )
Drohnenhersteller: DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github   
(20.11.2017, https://glm.io/131231 )
Android-Apps: Google belohnt Fehlersuche im Play Store   
(20.10.2017, https://glm.io/130735 )

© 1997–2019 Golem.de, https://www.golem.de/