L’European Commission Open Source Programme Office ha deciso di offrire importanti ricompense per chi volesse cimentarsi nel lavoro di bug-hunting sul parco software open source. Quale modo migliore per riconoscere l’importanza dell’OSS (Open Source Software)?
Un bug bounty program, per chi non lo sapesse, è un accordo, solitamente proposto da grosse aziende (Google, Microsoft, etc), grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, exploit o vulnerabilità. Il software open source alimenta i server, l’IoT, i nostri PC desktop e, a quanto pare, è anche centrale nei sistemi dell’Unione Europea.
L’UE promuove il bug hunting
Le origini di questo programma di bug-hunting risalgono al 2019, ve ne avevo parlato anche qui su LFFL. All’epoca i bounty erano focalizzati in particolare su OpenSSL e sul bug Heartbleed. Come tutti sanno, OpenSSL è davvero fondamentale per quanto concerne la comunicazione in rete. Dopo la scoperta del bug Heartbleed era emerso che la OpenSSL Software Foundation, responsabile della manutenzione della libreria, riceveva solo $2000 di donazioni all’anno e aveva solo un impiegato che vi lavorava a tempo pieno. Questa scoperta ha smosso le acque e i grossi nomi dell’industria si sono mossi per supportare a dovere la Foundation.
In questi giorni, proseguendo sulla strada intrapresa nel 2019, l’European Commission Open Source Program Office (EC OSPO) ha annunciato un bounty program per invogliare i ricercatori a spendere tempo per individuare eventuali vulnerabilità. I software sui quali i bug hunter dovranno lavorare sono LibreOffice, LEOS, Mastodon, Odoo e CryptPad.
La ricompensa più alta sarà di 5.000 euro per vulnerabilità eccezionali più un bonus del 20% se verrà fornita anche la sistemazione del bug. Questo surplus è molto importante: solitamente quando una vulnerabilità è stata identificata e segnalata, i manutentori del progetto sono lenti nello sviluppo e nella distribuzione di una patch. Così facendo si cerca di avere tempi di risposta molto più brevi. Importante sottolineare che la sicurezza delle app desktop è stata messa sullo stesso piano di quella delle app server-side.
La gestione del bounty program si basa sulla piattaforma Intigriti, che lavora con team di ogni dimensione per proteggere le informazioni riservate, i dati dei clienti e rafforzare un processo di divulgazione responsabile.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
