Europäisches Parlament eröffnet Bug-Bounty-Programm für den VLC-Player

5. Dezember 2017 Kategorie: Backup & Security, Internet, geschrieben von:

Im Zuge der Verbesserung der eigenen internen IT-Sicherheit hat sich das Europäische Parlament zu einem begrüßenswerten Schritt verleiten lassen: ein sogenanntes Bug-Bounty-Programm soll Hacker und andere Spezialisten („Researcher“) dazu ermutigen, den ebenfalls im Parlament eingesetzten VLC-Player auf Schwachstellen hin zu untersuchen. Das Ganze erfolgt natürlich in Absprache mit dem Entwickler der Software und wirft für gemeldete Sicherheitslücken sogar finanzielle Entlohnung ab. Dazu wird das Programm über die Plattform „hackerone“ abgewickelt.

Dort beschreibt man die Ausschreibung folgendermaßen:

Bug-Bounty-Programm VLC-Player

EUFOSSA Directory Page:

The European Parliament has approved budget to improve the EU’s IT infrastructure by extending the free software security audit programme (FOSSA) and by including a bug bounty approach in the programme.

The Commission intends to conduct a small-scale „bug bounty“ activity on open-source software with companies already operating in the market. The scope of this action is to:

  • Run a small-scale „bug bounty“ activity for open source software project or library for a period of up to two months maximum;
  • The purpose of the procedure is to provide the European institutions with open source software projects or libraries that have been properly screened for potential vulnerabilities;
  • The process must be fully open to all potential bug hunters, while staying in-line with the existing
  • Terms of Service of the bug bounty platform.

About the Program

The VLC program is private

In conjunction with the VideoLAN team we are trialing the VLC application on a bug bounty program. We invite hackers and bounty hunters (aka researchers) based on a variety of factors – reputation, previous track record (high quality reports) on our previous public program, word of mouth and many other factors. The selection is completely at the discretion of the VLC team until such time as we go Public.

Our bounty policy

Qualified security vulnerabilities will be rewarded based on severity and impact, to be determined by the VLC security team. Rewards may range from $100 up to $3,000. Reward amounts will vary based upon the severity of the reported vulnerability, and eligibility is at VLC sole discretion.

Sinn der ganzen Aktion ist es, eventuell vorhandene Lücken und Fehler unter Geheimhaltung zu melden und nicht direkt jede Schwachstelle in die Öffentlichkeit zu tragen und so zu riskieren, dass diese umgehend für bösartige Angriffe genutzt wird. Zwei Monate lang haben alle an der Fehlerjagd interessierten Teilnehmer nun die Chance, einen Teil des zur Verfügung gestellten Budgets für sich als Belohnung einzustreichen – alles im Sinne der Sicherheit, versteht sich.

(via derStandard)

Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Benjamin hat bereits 1068 Artikel geschrieben.