Innovatie & Strategie

Security
Zimbra

Nieuwe EC-bounties voor bugs in open source

Bug bounties (en bonussen) voor Element, Moodle en Zimbra.

© Synacor
26 januari 2021

Bug bounties (en bonussen) voor Element, Moodle en Zimbra.

De Europese Commissie looft nieuwe beloningen uit voor het vinden van bugs in drie bekende stuks software die open source zijn. De premies lopen tot een maximum van 5000 euro per stuk en gelden voor bugs in de messenger- en collaboration-app Element, de elektronische leeromgeving Moodle, en de groupware Zimbra. Een extra beloning van 20 procent kan er nog bovenop komen.

De nieuwe set aan bug bounties van EC-initiatief ISA2 is eerder deze maand van start gegaan. Het aanmelden van gevonden fouten in code verloopt via het Intigriti-platform voor bug bounties. De beloningen die worden gefinancierd door ISA2 richten zich op opensourcesoftware die wijdverbreid in gebruik is bij Europese openbare diensten. Zo wordt Element gebruikt door overheidsinstanties in Frankrijk en Duitsland. Moodle is wereldwijd veel in gebruik, aldus ISA2, en ook Zimbra is populair.

Ook oog voor fixes

De nu uitgeloofde premies voor het vinden van bugs in deze drie verschillende softwarepakketten lopen (afhankelijk van de ernst) op tot een maximumbedrag van 5000 euro per stuk. Daarbij geldt echter nog een bonus van 20 procent bovenop de uit te keren bounty als de ontdekker van een bug bij de melding ervan ook code voor een fix aanlevert.

Met die bonusregeling voorziet de EC in het fenomeen dat een opensourceproject dankzij het Europese bugbounty-programma overspoeld wordt met bugmeldingen. Het kan dan echter nog veel tijd en moeite kosten om de gevonden en gemelde bugs te fixen. Ondertussen zijn de bugs wel gevonden en kunnen kwaadwillenden de moeite nemen om op eigen houtje de bestaande kwetsbaarheden uit te vogelen voor misbruik.

Heartbleed

In het verleden is al gebleken dat sommige essentiële opensourceprojecten afhankelijk zijn van slechts een handjevol ontwikkelaars. Het bijhouden van fixes kan dan een grote uitdaging zijn. Enkele grote en geruchtmakende beveiligingsgaten in breed gebruikte softwarecomponenten hebben dit al aangetoond. De Heartbleed-bug in OpenSSL is hier een voorbeeld van: aan die veelgebruikte en gratis cryptografische library werkten maar twee fulltime ontwikkelaars.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.