EU erweitert Bug-Bounty-Programm Fossa

Die EU will ihr Projekt Free and Open Source Software Auditiong (EU-Fossa) weiter ausbauen. Damit wird das Auffinden von Software-Schwachstellen in Open-Source-Lösungen durch EU-Gelder entlohnt. Wie die Europaabgeordnete Julia Reda (Piraten) in einem Blogbeitrag schreibt, soll es noch dieses Jahr Ausschreibungen für ein Bug-Bounty-Programm für 15 Open-Source-Programme geben.

Konkret geht es um folgende Programme:

• Filezilla
• Apache Kafka
• Notepad++
• Putty
• VLC Media Player
• Flux TL
• Keepass
• 7-Zip
• Digital Signature Services (DSS)
• Drupal
• Gnu C Library (Glibc)
• PHP Symfon
• Apache Tomcat
• Wso2
• midPoint

Auf ihrem Blog listet die Politikerin die jeweiligen Laufzeiten für die einzelnen Programme auf. Ausserdem nachzulesen ist dort, mit wie viel Geld ein gefundener Fehler maximal entlohnt wird. Während etwa für eine Schwachstelle in den Digital Signature Services (DSS) höchstens 25.000 Euro drin sind, bekommt man für einen gefundenen Fehler in Putty bis zu 90.000 Euro.

Gestartet wurde Fossa ursprünglich im Jahr 2014 mit dem Fund verschiedener Sicherheitslecks in OpenSSL. Reda selbst hatte das Programm zusammen mit ihrem Kollegen Max Andersson ins Leben gerufen. Seither wurde das Projekt stetig erweitert. Wie Reda schreibt, gab es 2015 bis 2016 ein Sicherheitsaudit der EU für den Passwortmanager Keepass und den Webserver Apache.

Nun also soll Fossa massiv erweitert werden. Die EU selbst nutzt zahlreiche Open-Source-Programme für ihre Arbeit sowie die Bereitstellung zahlreicher Webseiten. Aus diesem Grund ist die Sicherheit der genutzten Lösungen auch ein wichtiges Thema in Brüssel.

Für die Abwicklung setzt die EU auf die beiden Bug-Bounty-Plattformen Hackerone und Intigrity von Deloitte.