Każdy szanujący się producent oprogramowania organizuje dziś bug bounty – wyzywania w których hakerzy nagradzani są za odnajdywanie dziur w oprogramowaniu pokaźną kwotą. Swoje programy bug bounty od lat realizuje Google, Facebook czy Microsoft, organizowane są także turnieje we włamywaniu się do najpopularniejszych przeglądarek. Teraz do grona organizatorów bug bounty dołączyła Unia Europejska.

Od FOSS do bug bounty

Już w styczniu zostaną uruchomione programy odpłatnego poszukiwania błędów w najpopularniejszych darmowych programach wykorzystywanych przez europejską administrację. Przedsięwzięcie stanowi rozszerzenie inicjatywy Free and Open Source Audit – był to program kontroli jakości darmowego i otwartego softu uruchomiony po odnalezieniu luk bezpieczeństwa w bibliotekach OpenSSL w 2014 roku. W kolejnych latach audytem objęto między innymi serwer Apache i menedżer haseł KeePass.

W sponsorowanym przez Unię Europejską programach bug bounty będzie można szukać luk bezpieczeństwa w 15 darmowych i otwartych programach, bibliotekach, a nawet systemach zarządzania treścią. Będą to: Filezilla, Apache Kafka, Notepad++, PuTTy, VLC, FLUX TL, KeePass, 7-zip, Digital Signature Services, Drupal, DSS, glibc, PHP Symfony, Apache Tomcat, WSO2 i midPoint. Poszukiwania będą odbywać się w serwisach HackerOne oraz Intigriti/Deloitte.

Jest się o co bić

Bruksela nie szczędzi na nagrodach – ci, którzy przyczynią się do uszczelnienia programów będą mogli otrzymać od 25 do 90 tys. euro. Wkrótce ukażą się kolejne szczegóły dotyczące programu, o czym poinformowała już Julia Reda – przewodnicząca Partii Piratów w Parlamencie Europejskim, która nadzoruje inicjatywę. Jak wspomnieliśmy, program zostanie uruchomiony już w styczniu i potrwa – w zależności od programu – od kilku do kilkunastu miesięcy.

Oczywiście europejskie bug bounty nie jest pierwszą tego typu inicjatywą organizowaną przez rządy. W 2016 roku w ten sam sposób testowano zabezpieczenia infrastruktury Pentagonu. W tamtym przypadkiem beneficjentem był jednak tylko Departament Obrony USA. Na programie UE skorzystają natomiast wszyscy użytkownicy, którzy wykorzystują wspomniane programy Open Source.