Objetivos
En el año 2014, se encontraron vulnerabilidades de seguridad en importantes proyectos de software libre. Uno de los errores se encontró en la librería de cifrado de código abierto OpenSSL (incidente Heartbleed). Este tipo de software proporciona funciones estándar a un gran número de otros softwares.
Este problema hizo que mucha gente se diera cuenta de lo importante que es el software libre y de código abierto para la integridad y fiabilidad de Internet y otras infraestructuras.
Al igual que muchas otras organizaciones, instituciones como el Parlamento Europeo, el Consejo y la Comisión utilizan software libre para interactuar con sus sitios web y muchas otras funcionalidades.
Es por ello que Max Andersson y Julia Reda comenzaron el proyecto de auditoría de software libre y de código abierto FOSSA (Free Open Source Software Analysis) cuyo principal objetivo es garantizar la seguridad del software libre con una partida permanente en el presupuesto de la UE.
Primera fase: el proyecto piloto FOSSA
En 2014, comenzó el proyecto FOSSA para ayudar a mejorar la seguridad general de Internet, después de que se descubrieran vulnerabilidades graves en componentes clave de infraestructura como OpenSSL.
La fase del "proyecto piloto" duró más de dos años entre 2015 y 2016. Una parte de ello fue crear un inventario del software libre y de código abierto utilizado en la Comisión Europea y el Parlamento Europeo.
En octubre de 2018 la Comisión Europea publicó el inventario completo WP4: Full inventory
La medida principal de la fase piloto fue la auditoría de seguridad de Apache y KeePass.
Segunda fase: la evolución de FOSSA
En 2017, FOSSA fue renovado por 3 años más.
Con la introducción de las recompensas de errores como parte de FOSSA 2, la UE se acerca más a los desarrolladores, investigadores de seguridad y hackers.
FOSSA es gestionada y ejecutada por la Comisión Europea.
En noviembre de 2017, la Comisión anunció que ejecutaría la primera recompensa de errores de FOSSA 2 en VLC Media Player como prueba de concepto. Comenzó con una sesión de tres semanas, solo por invitación, y después permanecerá abierta al público general.
Según la Comisión, esto les permitió adquirir experiencia en la ejecución de recompensas por errores que luego se pueden utilizar para el proyecto principal.
Puedes leer una entrevista con el equipo de gestión en el sitio web de la plataforma de recompensas de errores HackerOne.Las empresas podrían solicitar la ejecución de las recompensas de errores en una convocatoria pública de licitaciones que se lanzó en abril de 2018. En octubre de 2018, tres empresas fueron anunciadas como proveedores de recompensas de errores (Hackerone Inc., Intigriti NV, Yes We Hack SAS).
En diciembre de 2018, se anunció la lista de proyectos que recibirán una recompensa por errores.
La primera salida de un total de 15 recompensas se hizo pública en enero de 2019.
Recompensas de errores
En enero de 2019, la Comisión Europea estableció un total de 15 recompensas por errores en proyectos de software libre en los que confían las instituciones de la UE.
Los proyectos de software elegidos fueron previamente identificados como candidatos en los inventarios y una encuesta pública.
La cuantía de la recompensa depende de la gravedad del problema descubierto y la importancia relativa del software.
Lista de proyectos de software y recompensas de errores
Proyecto de Software |
Recompensa (Euros) |
Fecha de inicio (del contrato) |
Fecha final |
Bug Bounty Platform |
|---|---|---|---|---|
89,000€ |
30/01/2019 |
15/10/2020 |
||
58,000€ |
30/01/2019 |
15/04/2020 |
||
58,000€ |
30/01/2019 |
15/04/2020 |
||
58,000€ |
07/01/2019 |
15/08/2019 |
||
58,000€ |
07/01/2019 |
15/08/2019 |
||
71,000€ |
07/01/2019 |
15/08/2019 |
||
58,000€ |
07/01/2019 |
15/08/2019 |
||
90,000€ |
07/01/2019 |
15/12/2019 |
||
FLUX TL (private) |
34,000€ |
15/01/2019 |
15/10/2019 |
|
71,000€ |
15/01/2019 |
31/07/2019 |
||
Digital Signature Services (DSS) (private) |
25,000€ |
30/01/2019 |
15/10/2019 |
|
45,000€ |
30/01/2019 |
15/12/2019 |
||
39,000€ |
30/01/2019 |
15/10/2019 |
||
39,000€ |
30/01/2019 |
15/10/2019 |
||
midPoint (private) |
58,000€ |
01/03/2019 |
15/08/2019 |
Fuentes:
https://juliareda.eu/fossa/
https://juliareda.eu/2018/12/eu-fossa-bug-bounties/
https://joinup.ec.europa.eu/collection/eu-fossa-2
https://ec.europa.eu/info/news/eu-fossa-bug-bounties-full-force-2019-apr-05_en
Entradas
No hay comentarios