2019年1月起,欧盟将为14个开源项目的漏洞奖励计划埋单
编译:360代码卫士团队
欧盟议会成员 Julia Reda 本周宣布,欧盟将为14个开源项目的漏洞奖励计划支付赏金。
这14个开源项目(以字母顺序排序)为:
7-zip、Apache Kafka、Apache Tomcat、 Digital Signature Services (DSS)、Drupal、Filezilla、FLUX TL、the GNU C Library (glibc)、KeePass、midPoint、Notepad++、PuTTY、the Symfony PHP 框架、VLC Media Player 和WSO2。
为这些漏洞奖励计划埋单是自由和开源软件审计 (FOSSA) 项目第三版的一个组成部分。
欧盟相关权力机构首次在2015年批准了 FOSSA 的设立,一年之后,安全研究员在被很多网站用于支持 HTTPS 连接的开源项目 OpenSSL 库中发现了多个严重漏洞。
Reda 指出,“这个问题使很多人意识到自由和开源软件对于互联网和其它基础设施的完整性和可靠性是多么重要。和很多其它组织机构一样,欧盟议会、理事会和委员会都是在自由软件的基础上构建的,并在此基础上运行网站等。”
首个 FOSSA 版本作为试验计划运行于2015年和2016年,最初的预算是100万欧元。欧盟创造了欧盟办公室和员工使用的最流行的开源项目,并且针对应当赞助哪些项目的安全审计。结果选中了Apache HTTP web 服务器和 KeePass 密码管理器。
FOSSA 第2版运行于2017年,方式是作为 VLC Media Player app 在HackerOne 上设立的漏洞奖励计划。该计划共获得200万欧元的资助,但该计划的预算上限是6万欧元。
目前,FOSSA 第3版开始启动,预算涵盖14个漏洞奖励计划。获得最高预算的是 PuTTY 和 DrupalCMS。如下图,内容包括软件项目、赏金(欧元)、起始日、截止日以及漏洞奖励平台。
从2019年1月起,安全研究员和安全公司就可从这些开源项目中寻找漏洞,并通过相应的漏洞奖励计划提交漏洞报告。如漏洞报告得到证实且漏洞得以修复,则可获得赏金。
推荐阅读
原文链接
https://www.zdnet.com/article/eu-to-fund-bug-bounty-programs-for-14-open-source-projects-starting-january-2019/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。