L'Unione Europea paga per la ricerca di bug nel software open source
L’European Commission Open Source Programme Office ha deciso di offrire importanti ricompense per chi volesse cimentarsi nel lavoro di bug-hunting sul parco software open source. Quale modo migliore per riconoscere l’importanza dell’OSS (Open Source Software)?
Un bug bounty program, per chi non lo sapesse, è un accordo, solitamente proposto da grosse aziende (Google, Microsoft, etc), grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, exploit o vulnerabilità. Il software open source alimenta i server, l’IoT, i nostri PC desktop e, a quanto pare, è anche centrale nei sistemi dell’Unione Europea.
L’UE promuove il bug hunting
Le origini di questo programma di bug-hunting risalgono al 2019, ve ne avevo parlato anche qui su LFFL. All’epoca i bounty erano focalizzati in particolare su OpenSSL e sul bug Heartbleed. Come tutti sanno, OpenSSL è davvero fondamentale per quanto concerne la comunicazione in rete. Dopo la scoperta del bug Heartbleed era emerso che la OpenSSL Software Foundation, responsabile della manutenzione della libreria, riceveva solo $2000 di donazioni all’anno e aveva solo un impiegato che vi lavorava a tempo pieno. Questa scoperta ha smosso le acque e i grossi nomi dell’industria si sono mossi per supportare a dovere la Foundation.
In questi giorni, proseguendo sulla strada intrapresa nel 2019, l’European Commission Open Source Program Office (EC OSPO) ha annunciato un bounty program per invogliare i ricercatori a spendere tempo per individuare eventuali vulnerabilità. I software sui quali i bug hunter dovranno lavorare sono LibreOffice, LEOS, Mastodon, Odoo e CryptPad.
La ricompensa più alta sarà di 5.000 euro per vulnerabilità eccezionali più un bonus del 20% se verrà fornita anche la sistemazione del bug. Questo surplus è molto importante: solitamente quando una vulnerabilità è stata identificata e segnalata, i manutentori del progetto sono lenti nello sviluppo e nella distribuzione di una patch. Così facendo si cerca di avere tempi di risposta molto più brevi. Importante sottolineare che la sicurezza delle app desktop è stata messa sullo stesso piano di quella delle app server-side.
La gestione del bounty program si basa sulla piattaforma Intigriti, che lavora con team di ogni dimensione per proteggere le informazioni riservate, i dati dei clienti e rafforzare un processo di divulgazione responsabile.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.