欧盟即将在免费开源软件项目中推行“漏洞赏金”

日前，外媒juliareda记者Julia Reda刊文谈论了欧盟运行的免费和开源软件审计项目(Free and Open Source Software Audit project)--FOSSA。据其介绍，在一些免费软件项目中他们发现了安全漏洞，其中一个问题是这些漏洞则是在开源加密库OpenSSL中发现。

该类型软件之因此被称为库则是由于它为大量其余软件提供了标准功能。因为OpenSSL对于互联网流量的加密也很是重要，所以它对于保护用户我的通讯或其在网上购物时的支付细节也息息相关。

这一问题让许多人意识到，免费和开源软件对于互联网和其余基础设施的完整性和可靠性是多么得重要。与其余许多组织同样，欧洲议会、欧洲理事会、欧盟委员会等机构也在自由软件的基础上运行它们的网站和其余东西。除了经济和政府机构，互联网实际上对用户平常生活的基础设施也相当重要，它是人们用于检索信息和在政治上保持活跃的手段。

而这也是为何Reda及其同事Max Andersson启动免费开源软件审计项目FOSSA的缘由。

FOSSA

2015年-2016年，第一代FOSSA项目诞生，负责运行该项目的欧盟委员会列出了自由软件依赖的清单，另外还分析了软件开发者如何在他们的项目中处理安全问题。最后，两个项目（web服务器Apache和密码管理器KeePass）接受了安全审计。

FOSSA 2

到了2017年，这个项目延长了三年时间。此次Reda他们决定更进一步，他们在重要免费软件项目中加入了Bug Bounties（漏洞奖励）的执行以此来提升免费和开源软件的安全性。

另外，他们还为此计划了一系列的黑客马拉松活动，进而使得来自欧盟机构内部的开发人员、来自免费软件项目的开发人员可以紧密合做并在各自的软件上展开直接合做。

FOSSA Bug Bounties

/

明年1月，欧盟委员将会在免费软件项目中启动了15个Bug Bounties中的14个。Bug Bounties是对那些积极帮助发现安全问题的人的奖励，至于具体金额则视所发现问题的严重性和软件的相对重要性而定。如下为软件项目和漏洞奖励的具体表格：

 

​本文转自：https://www.linuxprobe.com/vulnerability-bounty.html