LINUX.ORG.RU

FOSSA объявил список проектов нового раунда Bug Bounty на 2019-2020 год

 , , ,


0

0

Проект FOSSA (Free and Open Source Software Audit) при финансовой поддержке Европейского Союза объявил о начале нового раунда аудита безопасности в FOSS проектах, включая такие как glibc, Apache Tomcat, Drupal, VLC и другие. Список проектов, участвующих в программе, был определен по итогам голосования пользвателей.

Free and Open Source Software Audit (FOSSA) - проект выделения средств, одобренный властями ЕС в 2015 году после того, как годом ранее обнаружились серьёзные уязвимости криптографической библиотеки OpenSSL. В этом году в программе принимает участие 15 проектов:

>>> Подробности на сайте депутата Европарламента Юлии Реда

Deleted

Проверено: Shaman007 ()

Отличная инициатива, немного непонятно что в списке делают текстовый редактор и видео плеер? Какие там могут быть опасные уязвимости?

loz ★★★★★ ()
Ответ на: комментарий от loz

текстовый редактор и видео плеер? Какие там могут быть опасные уязвимости?

Насчет текстового редактора не знаю, а уязвимости в плеере обычные - скажем, RCE за счет специально сконструированного видеофайла.

tailgunner ★★★★★ ()

Список проектов, участвующих в программе, был определен по итогам голосования пользвателей.

Я хотел бы видеть пользователей, проголосовавших за FLUX TL. Вот правда, очень хотел бы,

tailgunner ★★★★★ ()
Ответ на: комментарий от loz

Какие там могут быть опасные уязвимости?

Да много какие. Начиная от бинарных вроде «выход за границу массива», заканчивая логических вроде «инъекция кода при вызове утилиты-helper'а».

Use-case таких уязвимостей — 1-click RCE, то есть вызов кода при открытии документа. Например, сценарий: «Открыл письмо из налоговой — словил шифровальщик».

anonymous ()

FLUX TL, WSO2, midPoint

Это вообще что?

Filezilla, Notepad++

Эти проекты целиком наверное стоят меньших денег, чем им выделили на уязвимости.
Попахивает распилом.

snizovtsev ★★★ ()

Как тут не вспомнить историю с TrueCrypt, на аудит которого в короткие сроки собрали денег больше, чем сам проект собрал на своё развитие в течение многих лет.

По одной из версий, именно после этого автор обиделся и свалил. И эта гипотеза, возможно, не менее правдоподобна, чем лежащее на поверхности объяснение про давление спецслужб.

hobbit ★★★★★ ()
Ответ на: комментарий от anonymous

Use-case таких уязвимостей — 1-click RCE, то есть вызов кода при открытии документа. Например, сценарий: «Открыл письмо из налоговой — словил шифровальщик».

Это никакими программами bug bounty не закрыть, лучше вкладываться в нормальные песочницы, а не заклёпывания решета by design. Вот, например, доклад про ломание ffmpeg: https://www.youtube.com/watch?v=dGnDIzet224

И позиция Google Security Team:

FFmpeg is one of those projects we trust to have RCE (remote code execution) everywhere

snizovtsev ★★★ ()

США: Отмена net neutrality РФ: 20 миллиардов рублей на ограничение свободы пользователей ЕС: Распил почти миллиона евро на «аудит» В говно катимся, товарищи.

balsoft ()
Ответ на: комментарий от Deleted

BugBounty здорового человека: зарабатываем деньги на проекте => уязвимость может уменьшить наш cash flow => нам выгодна секурность и поощрение white hat.
BugBounty курильщика: накостылили ненужно => пропихнули в комитет => получили деньги за ошибки в ненужно. Нам выгодно плодить ошибки дальше.

snizovtsev ★★★ ()
Ответ на: комментарий от loz

Ну какие

В нормальном плеере не знаю, а vlc тянет библиотеки libfreerdp соотвественно любая уязвимость в vlc-критическая. Зачем эти идиоты так сделали не спрашивайте.

anonymous ()

Deliver faster, lower-risk integration projects with WSO2 open source API Management, Enterprise Integration, ESB and Identity Management technologies.

Ехал баззворд через баззворд Видит баззворд: в баззворде баззворд! Сунул баззворд баззворд в баззворд Баззворд баззворд баззворд баззворд.

anonymous ()
Ответ на: комментарий от tailgunner

Ну OneSoil тоже какие-то странные люди делали. Но вообще похоже, что эти ребята там вне конкурса, как и midPoint – мы этим у себя пользуемся, так давайте аудит сделаем, чоужтам

Deleted ()

Интересно, а почему только Drupal и PHP Symfony? Почему на Drupal выделили в два раза больше? WordPress же везде крутится, если уж говорить про веб.

majei ()
Ответ на: комментарий от chinarulezz

ты так говоришь, как будто не представляешь, что такое bug bounty. найти хотя бы одну дыру в glibc - то еще занятие, за неё и все 45к можно отдать. а 71к выделенных на Notepad++ быстро разойдутся на кучу легкообнаруживаемых дыр.

Deleted ()
Ответ на: комментарий от Deleted

найти хотя бы одну дыру в glibc - то еще занятие, за неё и все 45к можно отдать. а 71к выделенных на Notepad++ быстро разойдутся на кучу легкообнаруживаемых дыр.

посмотрим.

chinarulezz ★★★★★ ()
Ответ на: комментарий от snizovtsev

лучше вкладываться в нормальные песочницы, а не заклёпывания решета by design

Песочница не панацея, так как от утечки других писем в рамках того же приложения — она тебя не спасет.

Нужно вкладываться и в application security, и в sandboxing, ибо эшелонированная оборона.

anonymous ()