A Comissão Europeia lançou um programa que recompensa a detecção de bugs nos seus projectos Open Source que sustentam os seus serviços públicos.
Os caçadores de recompensas de bugs poderão receber até 5.000€ (o equivalente a 5.600 dólares americanos) para encontrar vulnerabilidades de segurança em software de código aberto usado em toda a União Europeia (UE), incluindo LibreOffice, LEOS, Mastodon, Odoo e CryptPad. Este programa, liderado pela plataforma europeia de recompensas de bugs Intigriti, também oferecerá um bónus de 20% se uma correção de código para os bugs for fornecida pelos investigadores.
Num comunicado divulgado a 19 de janeiro, a CE disse que está à procura de relatórios de vulnerabilidades de segurança, como a exposição de dados pessoais, escalação de privilégios horizontal/vertical e injeção de SQL. A maior recompensa será paga pela deteção de “vulnerabilidades excepcionais”.
Este último programa surge no seguimento de um outro programa, denominado FOSSA, também da UE, que pagou mais de 220.000 dólares nos seus 18 meses de operação, e que foi anunciado como um “sucesso notável”.
Em declarações ao The Daily Swig, Inti De Ceukelaire, chefe de hackers da Intigriti, disse que a parceria surgiu no ano passado, quando a Intigriti liderou um programa financiado pelo programa ISA2 da CE. “Estamos comprometidos em nutrir ainda mais o relacionamento com as comunidades de código aberto que estabelecemos nos últimos anos”, referiu o tester belga. “Pessoalmente, acredito que todos os órgãos governamentais devem ter e incentivar o uso de políticas de divulgação de vulnerabilidades e introduzir ou adotar leis inequívocas para apoiar a pesquisa de vulnerabilidades. As recompensas por bugs, entre outras iniciativas de crowdsourcing, são uma ótima maneira de incentivar isso.”
De Ceukelaire ainda acrescentou: “Praticamente todas as organizações usam projetos de código aberto de uma forma ou de outra. Identificar e resolver vulnerabilidades de segurança nesses projetos tem um impacto em escala. O incidente do Log4j mostrou-nos que apoiar a segurança de projetos de código aberto amplamente utilizados é uma necessidade absoluta, por isso só podemos aplaudir essa iniciativa da Comissão Europeia.”
https://portswigger.net/daily-swig/european-commission-launches-new-open-source-software-bug-bounty-program