UE lança recompensa bug de código aberto

A União Européia (UE) anunciou que vai oferecer suporte a vários programas de recompensas de bugs de código aberto. Está fazendo isso para proteger o software de código aberto que a UE e que está se tornando cada vez mais dependente. O movimento foi anunciado pelo membro da Parlamentar Europeia (MEP) Julia Reda, que listou 15 projetos. No entanto, apenas 14 receberão financiamento, embora não esteja claro qual deles será deixado de fora.

Os 15 projetos, o tamanho da recompensa dos bugs e a plataforma de recompensas foram detalhados pela Reda. A lista é:

Projeto de SoftwareValor do Bug Bounty (Euro)Data de inícioData finalPlataforma de recompensas de bugs
Filezilla58.000,00 €07/01/201915/08/2019HackerOne
Apache Kafka58.000,00 €07/01/201915/08/2019HackerOne
Notepad ++71.000,00 €07/01/201915/08/2019HackerOne
PuTTY90.000,00 €07/01/201915/12/2019HackerOne
VLC Media Player58.000,00 €07/01/201915/08/2019HackerOne
TL DE FLUXO34.000,00 €15/01/201915/10/2019Intigriti / Deloitte
KeePass71.000,00 €15/01/201931/07/2019Intigriti / Deloitte
7-zip58.000,00 €30/01/201915/04/2020Intigriti / Deloitte
Serviços de Assinatura Digital (DSS)25.000,00 €30/01/201915/10/2019Intigriti / Deloitte
Drupal89.000,00 €30/01/201915/10/2020Intigriti / Deloitte
Biblioteca GNU C (glibc)45.000,00 €30/01/201915/12/2019Intigriti / Deloitte
PHP Symfony39.000,00 €30/01/201915/10/2019Intigriti / Deloitte
Apache Tomcat39.000,00 €30/01/201915/10/2019Intigriti / Deloitte
WSO258.000,00 €30/01/201915/04/2020Intigriti / Deloitte
ponto médio58.000,00 €01/03/201915/08/2019HackerOne

No total, isso equivale a mais de € 851.000 (£ 762.500, US $ 972.100). Embora isso possa parecer uma grande quantidade de dinheiro, é relativamente pequeno em termos de recompensas de bugs. Ele também terá que ser dividido em vários bugs à medida que eles são relatados, dificultando o conhecimento do que cada pesquisador de segurança pode esperar ganhar.

Bug bounties chave para melhorar o software subjacente

Os defensores do código aberto dizem que é mais seguro que o software comercial devido ao número de pessoas que estão olhando para o código-fonte. Isso parece bom, mas como vimos nos últimos anos, está longe da realidade. Isso ocorre porque depende da disposição de um grupo de pessoas muitas vezes muito pequeno de validar o código de outras pessoas. Muitas vezes, também assume que o código antigo foi verificado e não precisa mais ser analisado.

Bug bounties mudam esse relacionamento. Ele fornece uma razão para as pessoas verificarem o código contribuído por outras pessoas. Também ajuda a comunidade a criar mecanismos melhores para garantir que ela lide com a segurança no início do ciclo de desenvolvimento de software.

No entanto, mesmo quando os bugs são encontrados e corrigidos, isso não torna mais seguro o uso do software. Isso porque simplesmente corrigir o código subjacente não significa que os usuários atualizem sua versão do software. Sem essa etapa, correções de bugs têm uso muito limitado. Isto não é apenas sobre instâncias individuais do software. À medida que a UE e outras organizações avançam ainda mais no caminho da maior integração de software, basta um projeto não corrigido para causar problemas para todos.

O Drupal é um bom exemplo disso. Foi alvo de vários ataques no ano passado que exploraram bugs conhecidos. No entanto, a partir de 27 de dezembro de 2018, a NTT Security informou ter encontrado cerca de 62,00 servidores Drupal voltados para o público, não corrigidos.

Enterprise Times: O que isso significa

Qualquer coisa que melhore a qualidade do software é bem-vinda. Este último anúncio da Reda é uma continuação do projeto de Auditoria de Software Livre e de Código Aberto (FOSSA) iniciado em 2015. Adicionar recompensas de bug ao FOSSA é um bom passo, mas o tamanho do pote geral é muito pequeno. A maioria dos pesquisadores de segurança vai focar sua atenção em outros programas de recompensas de bugs, onde as recompensas são maiores.