FOSSA: Evropska unija bo financirala iskanje hroščev v odprtokodni programski opremi

V okviru projekta FOSSA (Free and Open Source Software Audit) bo Evropska unija od januarja financirala iskanje varnostnih lukenj in ranljivosti v odprtokodni programski opremi, ki jo njene inštitucije uporabljajo pri vsakodnevnem delovanju. Skoraj milijon evrov čaka najditelje lukenj v 14 programih.

Evropska unija je FOSSA prvikrat financirala že v letih 2015 in 2016, ko so popisali najpomembnejšo odprtokodno programsko opremo, ki jo uporabljajo evropski uradniki in inštitucije. Potem so se odločili, izvedejo varnostni pregled (audit) dveh popularnih kosov programske opreme – strežnik Apache in upravljalnik gesel KeePass. Leto zatem je stekla FOSSA 2, ko so iskali nagrajevali ranljivosti v VLC Media Playerju za 60.000 evrov.

Sedaj pa bodo nagrajevali luknje v 14 programih: t 7-Zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, FileZilla, FLUX TL, GNU C Library (glibc), KeePass, midPoint, Notepad++, PuTTTY, das Symfony PHP Framework, VLC Media Player in WSO2. Razpisane nagrade znašajo od 25.000 do 90.000 evrov.

Iskanje ranljivosti v odprtokodni programski opremi je potrebno, ker sama odprtost kode ni garant za varnost. Kodo mora nekdo pregledati in preveriti. Najodmevnejši primer je bila ranljivost Heartbleed v OpenSSL, ki so jo odkrili leta 2014, in je omogočala celo krajo zasebnih ključev iz delovnega pomnilnika.