Im Rahmen des Projekts Free and Open Source Software Audit (FOSSA) finanziert die EU ab Januar ein Bug-Bounty-Programm für 15 Open-Source-Anwendungen. Damit will die EU das Sicherheitsniveau für die von ihr genutzte Programme erhöhen. Dazu zählen auch populäre Programme, die von Privatanwendern häufig verwendet werden. Die Liste umfasst 7-Zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, FileZilla, FLUX TL, die GNU C Library (glibc), KeePass, midPoint, Notepad++, PuTTTY, das Symfony PHP Framework, VLC Media Player und WSO2.
Die EU-Behörden genehmigten Mittel für FOSSA erstmals im Jahr 2015, nachdem Sicherheitsforscher ein Jahr zuvor schwere Schwachstellen in der OpenSSL-Bibliothek entdeckt hatten, einem Open-Source-Projekt, das von vielen Websites zur Unterstützung von HTTPS-Verbindungen genutzt wird.
„Das Problem hat viele Menschen erkennen lassen, wie wichtig Freie und Open Source Software für die Integrität und Zuverlässigkeit des Internets und anderer Infrastrukturen ist“, sagte die EU-Abgeordnete Julia Reda zur Vorstellung der neuen Initiative. „Wie viele andere Organisationen bauen Institutionen wie das Europäische Parlament, der Rat und die Kommission auf Freie Software, um ihre Websites und viele andere Dinge zu betreiben.“
Die erste FOSSA-Ausgabe lief zwischen 2015 und 2016 als Pilotprogramm mit einem Anfangsbudget von 1 Million Euro. Die EU inventarisierte die beliebtesten Open-Source-Projekte, die von ihr genutzt werden, und sie führte eine öffentliche Umfrage durch, um zu entscheiden, für welches Programm ein Sicherheitsaudit finanziert werden sollte. Zwei Projekte wurden ausgewählt, der Apache HTTP Webserver und der KeePass Passwortmanager.
FOSSA 2 lief 2017 als Bug-Bounty-Programm auf HackerOne für die VLC Media Player App. Das Programm erhielt 2 Millionen Euro an Finanzmitteln, aber das Budget des Bug-Bounty-Programms war auf 60.000 Euro begrenzt.
Jetzt kehrt FOSSA für seine dritte Ausgabe mit Budgets für 14 Bug-Bounty-Programme zurück, wobei die höchsten Budgets für PuTTY und das Drupal CMS reserviert sind.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
