A partire da questo gennaio, la Commissione Europea finanzierà un programma di premi che coinvolgono diversi progetti open source. L'iniziativa fa parte della seconda edizione del progetto FOSSA (Free and Open Source Software Audit), che mira a garantire l'integrità e l'affidabilità di Internet e di altre infrastrutture IT.
Complessivamente la Commissione finanzierà 15 programmi di bug bounty, con premi che vanno da € 17.000 a € 90.000.
Un bug bounty è un premio rivolto alle persone che individuano attivamente problemi di sicurezza nel software.
Uno dei maggiori premi è stato fissato a chi scoprirà bachi su Drupal, questo da la misura di quanto Drupal CMS abbia raggiunto una larga diffusione anche all'interno delle istituzioni europee, merito che va attribuito alla sua affidabilità e capacità di essere plasmato per adattarsi ad esigenze complesse e molto differenti tra loro (PA, enterprise, commercio elettronico, editoria, etc)
Per capire come mai questo impegno da parte delle istituzioni europee dobbiamo fare un passo indietro di qualche anno.
Cosa è successo finora
Nel 2014, sono state riscontrate vulnerabilità di sicurezza in importanti progetti di software open source. Uno dei problemi di sicurezza più gravi è stato riscontrato nella libreria di crittografia OpenSSL. Questo codice viene chiamato libreria perché fornisce funzioni standard implementate da un enorme numero di altri software largamente diffusi. Di conseguenza, questi ultimi, sono diventati essi stessi vulnerabili al bug di OpenSSL (Heartbleed).
La libreria OpenSSL è molto importante per la crittografia del traffico Internet, svolge un ruolo importante nella protezione delle comunicazioni personali e dei dati di pagamento quando si acquista online.
La scoperta del baco di OpenSSL ha fatto si che molte persone cominciassero a realizzare quanto sia importante il software libero ed open source per l'integrità e l'affidabilità di Internet. Come molte altre organizzazioni, istituzioni come il Parlamento Europeo, il Consiglio europeo e la Commissione europea basano le loro infrastrutture su software open source. Ma Internet non è solo fondamentale per la nostra economia e la nostra amministrazione, è l'infrastruttura che gestisce le nostre vite quotidiane, è il mezzo che utilizziamo per recuperare informazioni, acquistare, etc.
FOSSA
Nel 2015-2016, con il primo varo del progetto FOSSA, la Commissione europea, ha pubblicato l'inventario del software open source utilizzato al suo interno. Ha inoltre analizzato come gli sviluppatori software gestiscono la sicurezza nei loro progetti. Infine, due progetti (il web server Apache ed il gestore di password KeePass) hanno ricevuto un audit sulla sicurezza.
FOSSA 2
Nel 2017, il progetto è stato esteso per altri tre anni. È stato fatto un ulteriore passo avanti, aggiungendo nell'elenco delle misure da implementare, la promozione di Bug Bounties su importanti progetti di software libero per aumentarne la sicurezza.
Inoltre sono stati pianificati una serie di Hackathon che consentiranno, agli sviluppatori di software all'interno delle istituzioni dell'UE e agli sviluppatori di progetti di software libero, di collaborare più strettamente tra loro e direttamente allo sviluppo del loro software.
FOSSA Bug Bounties
Questo gennaio, la Commissione europea ha lanciato 14 delle 15 Bug bounty previste sui progetti di software libero su cui fanno affidamento le istituzioni dell'UE. L'ammontare delle taglie/premi dipende dalla gravità della problematica scoperta e dall'importanza relativa del software per l'infrastruttura informatica dell'UE.
Ecco l'elenco dei progetti software e delle relative "taglie":
| Progetto Software | Ammontare dei premi | Data inizio | Data fine | Piattaforma Bug Bounty |
|---|---|---|---|---|
| Filezilla | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
| Apache Kafka | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
| Notepad++ | 71.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
| PuTTY | 90.000,00 € | 07/01/2019 | 15/12/2019 | HackerOne |
| VLC Media Player | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
| FLUX TL | 34.000,00 € | 15/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| KeePass | 71.000,00 € | 15/01/2019 | 31/07/2019 | Intigriti/Deloitte |
| 7-zip | 58.000,00 € | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
| Digital Signature Services (DSS) | 25.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| Drupal | 89.000,00 € | 30/01/2019 | 15/10/2020 | Intigriti/Deloitte |
| GNU C Library (glibc) | 45.000,00 € | 30/01/2019 | 15/12/2019 | Intigriti/Deloitte |
| PHP Symfony | 39.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| Apache Tomcat | 39.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| WSO2 | 58.000,00 € | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
| midPoint | 58.000,00 € | 01/03/2019 | 15/08/2019 | HackerOne |
