欧盟委员会';微软的开源项目办公室决定为流行的开源软件提供漏洞奖励。还有什么更好的方式来认可OSS';这比政府主导的赞助更重要吗?
开源软件为一切事物提供动力,从现代服务器到物联网,再到工作中的台式机,似乎也是欧盟系统的核心。虽然这项欧盟臭虫赏金计划受到欢迎,但它并不是什么新鲜事;我在2019年讲述了该项目的起源,见";欧盟漏洞赏金——软件安全作为一项公民权利";。
当时,悬赏的重点是OpenSSL和Heartbleed漏洞。众所周知,OpenSSL确实是当今基于互联网的通信的基石,因此,OpenSSL中的漏洞危害了社会的结构。从文章中:
令人惊讶的是,OpenSSL软件基金会负责维护OpenSSL图书馆,它是数百万网站和组织使用的互联网安全交易的基石,每年只收到2000美元的捐款,只有一名全职员工在图书馆工作。
所有这些都是在发现Heartbleed Bug之后发现的,这最终动摇了水域,并激发了大的行业名称,以支持基金会的适当资金。
因此,欧盟漏洞赏金计划是作为自由和开放源码软件审计(FOSSA)项目的一部分启动的,这要感谢欧盟海盗党的朱莉娅·雷达·梅普(Julia Reda MEP)。在OpenSSL等关键基础设施组件中发现严重漏洞后,她启动了该项目,认为已经足够了。这促使她让欧盟委员会参与促进互联网安全。
Joinup的法律专家Patrice Emmanuel Schmitz补充道:
就像面包和啤酒一样,自由软件开发也不是免费的:开发者需要一些激励,比如说他们需要钱来购买面包和啤酒,或者确保他们的家庭过上体面的生活。
为了提供这些激励措施,欧盟委员会将于1月对欧盟机构所依赖的自由软件项目发放大约15项缺陷补贴。bug悬赏是对积极搜索安全问题的人的奖励。悬赏金额取决于所发现问题的严重性和软件的相对重要性。
现在有了';这是另一轮网络安全赞助,但改名为欧盟委员会开源项目办公室(EC OSPO)。这一次,欧盟为在LibreOffice、LEOS、Mastodon、Odoo和CryptPad中发现安全漏洞支付了费用,并为发现的漏洞提供代码修复,额外获得20%的奖金。
这一好处非常重要,因为在许多情况下,一旦发现并报告了漏洞,项目的维护人员就很难获得补丁。奖金试图激励bug搜寻者提出修复方案并发现漏洞,从而缩短响应时间。
选择特定应用程序的标准基于其实际使用情况。所有这些都是欧盟公共服务部门使用的开源解决方案:
Mastodon——一个基于ActivityPub的免费开源社交网络服务器,用户可以在这里关注朋友并发现新朋友。
Odoo——一个内置电子商务和CRM系统的ERP业务管理解决方案。
Cryptpad——一个安全且加密的开源协作平台,允许人们在文档、电子表格和其他类型的文档上在线协作。
LEOS——帮助参与起草立法的人的软件工具,这通常是一个复杂的过程,需要高效的在线协作。
看来桌面应用程序的安全性与服务器端的安全性相当。在某些情况下,客户端攻击可能会更加危险,因为桌面应用程序会被大量使用,并且当被利用时';这不仅仅是发生在互联网上的一些模糊的黑客攻击,导致证书和个人信息泄露,而且完全控制了用户;个人电脑,因此,他们的完整数字生活。
Bug Hunter被要求查找安全漏洞,如个人数据泄露、横向/纵向权限提升和SQLi。对于异常漏洞,最高奖励为5000欧元,另外,如前所述,如果还提供了修复,将获得20%的奖金。漏洞赏金将基于Intigriti平台,该平台与欧洲各种规模、形状和行业的团队合作,以保护数字资产、保护机密信息和客户数据,并加强负责任的披露流程。
要了解关于I程序员的新文章,请注册我们的每周通讯,订阅RSS提要,并在Twitter、Facebook或Linkedin上关注我们。
米歇尔·戈曼斯(Michel Goemans)和大卫·威廉姆森(David Williamson)最近因1995年的一篇论文获得了2022年美国医学科学院斯蒂尔奖(AMS Steele Prize),这篇论文对研究做出了开创性的贡献,该论文的重点是最大切割问题,这是一个核心[。。。 ]
Udacity的最新版本';微软不断扩大的纳米学位列表是一个利用微软Azure构建人工智能项目组合的绝佳机会。它的首场会议将于2月2日开始。