欧盟为14个开源项目提供Bug奖励

欧盟委员会1月份正在资助14个漏洞赏金计划，希望能够嗅出欧盟机构所依赖的免费开源项目中的漏洞。

bug赏金计划涵盖14个开源软件项目，并为所有赏金总额提供近100万美元。 错误赏金计划有不同的奖励，开始和结束日期，以及平台。 第一个bug赏金计划 - 对于Filezilla，Apache Kafka，Notepad ++，PuTTy和VLC Media Player - 将于下周1月7日开始。

该计划源于自由和开源软件审计项目（FOSSA），该项目由欧洲议会成员Julia Reda首先创建。 在2014年开源加密库 OpenSSL中发现Heartbleed漏洞后，Reda提出了FOSSA，希望能够保护开源软件。

Heartbleed不仅影响了OpenSSL，还影响了该库提供的其他软件 - 而且该bug还突出了整个委员会广泛使用的软件中的安全问题。

“像许多其他组织一样，欧洲议会，理事会和委员会等机构建立在自由软件基础上运行他们的网站和其他许多东西，”Reda在一篇关于FOSSA的帖子中说 。 “但互联网不仅对我们的经济和管理至关重要。 这是我们日常生活中的基础设施。 这是我们用来检索信息和在政治上活跃的手段。“

该项目的第一次迭代，在2015年至2016年之间，启动了多项安全审核，列出了欧盟运行的免费软件，并分析了软件开发人员如何在项目中保持安全性。 2017年，欧盟制定了多项漏洞赏金计划，以寻找欧盟机构使用的开源计划中的漏洞。 2017年11月， 委员会宣布将 VLC Media Player上的第一个bug赏金作为概念证明。

以下是将有bug赏金计划的软件项目的完整列表： PuTTY和Drupal有两个最大的bug奖励，分别提供90,000欧元（102,000美元）和89,000欧元（101,000美元）。 错误赏金的时间范围也各不相同 - PuTTY的bug赏金计划将一直持续到12月15日，而Drupal将持续到2020年10月15日。

徘徊不安

虽然欧盟赞扬臭虫赏金计划是朝着正确方向迈出的一步，但有些人担心开源软件需要依靠的不仅仅是bug赏金计划来建立安全性。

Luta Security的创始人Katie Moussouris在推特上说，“开源项目的#bbbounty没有为额外的维护者提供任何资金，可能会摧毁未来的志愿者维护者劳动力管道”。

在安全性方面使用bug赏金程序作为最终解决方案的问题 - 而不是作为达成目标的手段 - 在过去几年中曾被多次触及。

Elastic的产品安全负责人Josh Bressers 在他的博客中说，一个问题是欧盟今天无法支付项目的费用，但他们确实有办法支付安全漏洞奖金。 相反，他们应该专注于“下一步”，这将为项目提供资源以保护自己。

他说：“如果没有任何变化，而且奖金赏金是在开源上花钱的唯一途径，那将会失败，因为不会有大规模的投资回报。” “这些项目已经过度工作，他们不需要一堆新的错误来修复......资源并不总是钱，有时候它有所帮助，有时它是装备，有时它是披萨。 像欧盟这样的组织有钱，他们需要帮助将其变成对开源项目有用的东西。“