È Julia Reda, politica tedesca classe 1986 e dal 2014 europarlamentare per il Partito Pirata, ad annunciare attraverso le pagine del suo blog un’iniziativa sostenuta dall’UE e finalizzata a innalzare il livello di sicurezza offerto da alcuni dei software open source più utilizzati, anche nelle infrastrutture IT al servizio degli organismi continentali: si va dalle utility per l’apertura e la generazione degli archivi compressi fino alle piattaforme destinate al Web, passando per un gestore delle password. Un programma bug bounty al quale chiunque avrà modo di partecipare, ovviamente a patto di disporre di conoscenze adeguate, scovando e segnalando problemi tra le righe del codice e vulnerabilità, ottenendo in cambio un compenso di natura economica.
FOSSA: il Bug Bounty Program
Uno sforzo che si inserisce nel contesto del progetto FOSSA (Free and Open Source Software Audit) lanciato negli anni scorsi, replicando modalità già attuate da diverso tempo da alcuni colossi del mondo hi-tech e online come Google e Microsoft, che ormai da tempo compensano l’impegno di chi segnala un bug o un exploit relativo ai loro prodotti e servizi, così da potervi porre rimedio prima che la vulnerabilità possa portare alla compromissione dei dati o alla sottrazione delle informazioni. Riportiamo di seguito l’elenco completo dei primi 15 software interessati: chi desidera partecipare potrà far riferimento alle piattaforme Intigriti di Deloitte e HackerOne.
- FileZilla;
- Apache Kafka;
- Notepad++;
- PuTTY;
- VLC Media Player;
- FLUX TL;
- KeePass;
- 7-zip;
- Digital Signature Services (DSS);
- Drupal;
- GNU C Library (glibc);
- PHP Symfony;
- Apache Tomcat;
- WSO2;
- midPoint.
Le somme stanziate vanno da un minimo di 25.000 a un massimo pari a 90.000 euro, a seconda del programma. Ovviamente, alla segnalazione di un bug più grave corrisponderà un compenso maggiore. Ulteriori informazioni in merito saranno svelate nel corso della prossima settimana. Sul blog di Julia Reda le date di inizio e fine dell’iniziativa per ogni software.