Hlavní navigace

Za chyby se platí: EU potřetí odmění lov chyb v open-source software

David Ježek

Celkem 14 open-source aplikací si Evropská unie vybrala jako klíčové. Od ledna financuje už třetí kolo programu na hledání chyb v nich, přičemž výběr je to poměrně pestrý: od VLC přes Drupal po KeePass.

Doba čtení: 2 minuty

Sdílet

Evropská unie vybrala 14 klíčových open-source programů, u kterých financuje hledání bezpečnostních chyb. Jedná se o velmi známé projekty, ostatně posuďte sami (řazeno abecedně):

  • 7-zip – kompresní program
  • Apache Kafka – platforma pro stream processing vyvinutá v LinkedIn a následně předaná Apache Foundation
  • Apache Tomcat – Java Servlet Container
  • Digital Signature Services (DSS) – OASIS standard specifikující dva protokoly na bázi XML
  • Drupal – široce používaný redakční systém
  • Filezilla – FTP
  • FLUX TL – transportní vrstva aplikací z Integrated Fisheries Data Management Programme (IFDM)
  • GNU C Library (glibc)
  • KeePass – správce hesel pro platformu Windows
  • midPoint – řešení pro správu identit
  • Notepad++ – textový editor podporující doplňování kódu, záložky, makra atd..
  • PuTTY – SSH/telnet klient pro Windows
  • Symfony PHP framework
  • VLC Media Player - známý multimediální (nejen) přehrávač
  • WSO2 – enterprise platforma

Program na hledání chyb se stanovenými odměnami je součástí třetí řady projektu Free and Open Source Software Audit (FOSSA). Poprvé toto orgány EU zkusily v roce 2015, poté co došlo k odhalení závažných chyb v knihovně OpenSSL. Pirátská europoslankyně Julia Reda k tomu dodává, že tehdy si spousta lidí uvědomila, jak důležitý je svobodný a open-source software pro integritu a spolehlivost internetu a další infrastruktury. Na otevřených technologiích ostatně běží i Evropský parlament, Evropská rada i Evropská komise (a mnoho dalších institucí).

První řada FOSSA běžela mezi roky 2015 a 2016 jako jakýsi pilotní projekt. Počáteční rozpočet tehdy byl skromný jeden milión eur. Zaměřila se přitom na nejpoužívanější projekty v EU, vybrán byl HTTP web server Apache a správce hesel KeePass.

V roce 2017 při druhé fázi FOSSA 2 už EU navýšila rozpočet na odměny na dva milióny eur, přičemž vyvoleným projektem byl přehrávač VLC (výše odměny tehdy byla zastropována částkou 60 tisíc eur).

Nyní v třetí fázi tedy dochází na celkem 14 projektů a vyčleněná částka je výrazně vyšší. Podívejme se tedy na konkrétní rozdělení pro jednotlivé projekty.

CIF-tip-bezpecnost

Projekt Výše odměny (€) Začátek Konec Použitá platforma pro hledání chyb
Filezilla 58 000,00 € 07/01/2019 15/08/2019 HackerOne
Apache Kafka 58 000,00 € 07/01/2019 15/08/2019 HackerOne
Notepad++ 71 000,00 € 07/01/2019 15/08/2019 HackerOne
PuTTY 90 000,00 € 07/01/2019 15/12/2019 HackerOne
VLC Media Player 58 000,00 € 07/01/2019 15/08/2019 HackerOne
FLUX TL 34 000,00 € 15/01/2019 15/10/2019 Intigriti/Deloitte
KeePass 71 000,00 € 15/01/2019 31/07/2019 Intigriti/Deloitte
7-zip 58 000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
Digital Signature Services (DSS) 25 000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Drupal 89 000,00 € 30/01/2019 15/10/2020 Intigriti/Deloitte
GNU C Library (glibc) 45 000,00 € 30/01/2019 15/12/2019 Intigriti/Deloitte
PHP Symfony 39 000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Apache Tomcat 39 000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
WSO2 58 000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
midPoint 58 000,00 € 01/03/2019 15/08/2019 HackerOne

Nejvyšší částka je vyčleněna na PuTTY a Drupal, o třetí místo se pak děli textový editor Notepad++, populární to náhrada za běžný Notepad („Poznámkový blok“) ve Windows, a již zmíněný správce hesel KeePass.

Je to rozhodně dobrá cesta, přibývá šikovných lidí, kteří si díky podobným projektům vydělávají lovem chyb. Mohou si tak legálně přijít na nemalé peníze, přičemž tyto odměny od EU jsou vlastně velmi malé ve srovnání s tím, co za díry ve svých produktech nabízí giganti typu Google či Apple. EU si uvědomila, že se jí vyplatí investovat do hledání chyb v open-source programech a je dobře, že iniciativa FOSSA stále pokračuje.