Europäische Kommission stellt 2019 neue Gelder für das Finden von Sicherheitslücken in beliebter Open-Source-Software bereit
Die Europäische Kommission wird 2019 etwas Geld locker machen und die Kosten für etwaig gefundene Sicherheitslücken in ausgewählter Open-Source-Software tragen. Im Zuge der Verbesserung der eigenen internen IT-Sicherheit hat sich das Europäische Parlament bereits 2017 zu einem begrüßenswerten Schritt verleiten lassen: Das sogenannte Bug-Bounty-Programm soll Sicherheitsforscher und andere Spezialisten dazu ermutigen, die ausgewählte Software auf Schwachstellen zu untersuchen. 2017 war der VLC Media Player vorne mit dabei (2016 nahm man bereits Apache und KeePass unter die Lupe, da gab es allerdings kein Bug-Bounty-Programm), nun folgt andere Software zusätzlich. Eine Übersicht der Software und die zur Verfügung gestellten Mittel seht ihr wie folgt:
SOFTWARE PROJECT | BUG BOUNTY AMOUNT (EURO) | START DATE | END DATE | BUG BOUNTY PLATFORM |
---|---|---|---|---|
Filezilla | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
Apache Kafka | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
Notepad++ | 71.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
PuTTY | 90.000,00 € | 07/01/2019 | 15/12/2019 | HackerOne |
VLC Media Player | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
FLUX TL | 34.000,00 € | 15/01/2019 | 15/10/2019 | Intigriti/Deloitte |
KeePass | 71.000,00 € | 15/01/2019 | 31/07/2019 | Intigriti/Deloitte |
7-zip | 58.000,00 € | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
Digital Signature Services (DSS) | 25.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
Drupal | 89.000,00 € | 30/01/2019 | 15/10/2020 | Intigriti/Deloitte |
GNU C Library (glibc) | 45.000,00 € | 30/01/2019 | 15/12/2019 | Intigriti/Deloitte |
PHP Symfony | 39.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
Apache Tomcat | 39.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
WSO2 | 58.000,00 € | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
midPoint | 58.000,00 € | 01/03/2019 | 15/08/2019 | HackerOne |
Na, ich weiß nicht,…
Wer wird sich später motivieren lassen, wenn es kein Geld (mehr) gibt.
Wie lief das denn bisher?
So begrüßenswert und gut das ist, aber die Beträge und der festgesetzte Höchstwert schmälern das ganze Vorhaben dann doch.
Ja leider, damit holt man höchstens ein paar Idealisten ab.
Am Markt werden deutlich höhere Summen für Sicherheitslücken gezahlt.
Aha wie viel hat den keepass, 7-zip bis jetzt bezahlt?