FOSSA Bug Bounties: la UE a caccia di bug nel software open source

Oltre 800 mila euro in palio per chi troverà errori in alcuni software open source molto usati nelle infrastrutture IT della UE

Autore: Redazione ImpresaCity

Con gennaio 2019 prende il via l'iniziativa FOSSA Bug Bounties, attraverso cui la Commissione Europea vuole incrementare l'affidabilità di alcuni software open source, per la precisione quindici. Si tratta di applicazioni e altri moduli software usati frequentemente nelle infrastrutture IT di vari organismi UE tra cui il Parlamento, il Consiglio e la Commissione stessa.

FOSSA Bug Bounties si muove nell'ambito del progetto Free and Open Source Software Audit (FOSSA, appunto). Questo è nato qualche anno fa sempre per garantire una maggiore sicurezza nell'utilizzo del software libero, in particolare dopo il "caso" OpenSSL.

Nel triennio 2015-2017, FOSSA ha provveduto a catalogare tutti i software open source usati dalla Commissione Europea e ha analizzato le procedure seguite dagli sviluppatori per la gestione della sicurezza nelle fasi di sviluppo software. Inoltre ha definito security audit specifici per il web server Apache e per il gestore di password KeePass.


Il progetto FOSSA è stato poi esteso per un altro triennio, fino al 2020. In questa seconda fase sono previste varie attività accessorie a quelle già svolte, tra cui alcuni hackathon in cui gli sviluppatori delle istituzioni UE e i rappresentanti dei principali progetti open source affronteranno insieme gli aspetti di sicurezza di tali progetti.

FOSSA Bug Bounties è una componente di questa seconda fase del progetto Free and Open Source Software Audit. La Commissione ha messo quindici "taglie" sui bug software di altrettanti progetti open source: variano tra 25 mila e 90 mila euro, a seconda dell'importanza del software per la UE e della criticità dei problemi rilevati.

I quindici software coinvolti vanno dalle utility (Filezilla, Notepad++, PuTTY, VLC Media Player, KeePass, 7-zip) alle piattaforme web (Drupal, Apache Tomcat, Symfony), dai componenti infrastrutturali (Apache Kafka, FLUX TL, WSO2, midPoint) alle librerie (Digital Signature Services, glibc). Chi vuole andare a caccia di bug per questi software deve mettersi subito al lavoro: le taglie saranno attive tra metà e fine gennaio. Solo midPoint sarà sotto esame a partire da marzo.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.