LINUX.ORG.RU

FOSSA объявил список проектов нового раунда Bug Bounty на 2019-2020 год

 , , ,


0

0

Проект FOSSA (Free and Open Source Software Audit) при финансовой поддержке Европейского Союза объявил о начале нового раунда аудита безопасности в FOSS проектах, включая такие как glibc, Apache Tomcat, Drupal, VLC и другие. Список проектов, участвующих в программе, был определен по итогам голосования пользвателей.

Free and Open Source Software Audit (FOSSA) - проект выделения средств, одобренный властями ЕС в 2015 году после того, как годом ранее обнаружились серьёзные уязвимости криптографической библиотеки OpenSSL. В этом году в программе принимает участие 15 проектов:

>>> Подробности на сайте депутата Европарламента Юлии Реда

Deleted

Проверено: Shaman007 ()

Отличная инициатива, немного непонятно что в списке делают текстовый редактор и видео плеер? Какие там могут быть опасные уязвимости?

loz ★★★★★ ()
Ответ на: комментарий от loz

текстовый редактор и видео плеер? Какие там могут быть опасные уязвимости?

Насчет текстового редактора не знаю, а уязвимости в плеере обычные - скажем, RCE за счет специально сконструированного видеофайла.

tailgunner ★★★★★ ()

Список проектов, участвующих в программе, был определен по итогам голосования пользвателей.

Я хотел бы видеть пользователей, проголосовавших за FLUX TL. Вот правда, очень хотел бы,

tailgunner ★★★★★ ()
Ответ на: комментарий от loz

Какие там могут быть опасные уязвимости?

Да много какие. Начиная от бинарных вроде «выход за границу массива», заканчивая логических вроде «инъекция кода при вызове утилиты-helper'а».

Use-case таких уязвимостей — 1-click RCE, то есть вызов кода при открытии документа. Например, сценарий: «Открыл письмо из налоговой — словил шифровальщик».

anonymous ()

FLUX TL, WSO2, midPoint

Это вообще что?

Filezilla, Notepad++

Эти проекты целиком наверное стоят меньших денег, чем им выделили на уязвимости.
Попахивает распилом.

snizovtsev ★★★★ ()
Ответ на: комментарий от snizovtsev

Очень популярные у фронтендщиков особой квалификации инструменты.

Shaman007 ★★★★★ ()

Как тут не вспомнить историю с TrueCrypt, на аудит которого в короткие сроки собрали денег больше, чем сам проект собрал на своё развитие в течение многих лет.

По одной из версий, именно после этого автор обиделся и свалил. И эта гипотеза, возможно, не менее правдоподобна, чем лежащее на поверхности объяснение про давление спецслужб.

hobbit ★★★★★ ()
Ответ на: комментарий от anonymous

Use-case таких уязвимостей — 1-click RCE, то есть вызов кода при открытии документа. Например, сценарий: «Открыл письмо из налоговой — словил шифровальщик».

Это никакими программами bug bounty не закрыть, лучше вкладываться в нормальные песочницы, а не заклёпывания решета by design. Вот, например, доклад про ломание ffmpeg: https://www.youtube.com/watch?v=dGnDIzet224

И позиция Google Security Team:

FFmpeg is one of those projects we trust to have RCE (remote code execution) everywhere

snizovtsev ★★★★ ()

Notepad++

Говно, как и вся эта затея. Предлагаю провести аудит безопасности в Windows.

Odalist ★★★★★ ()
Ответ на: комментарий от snizovtsev

Попахивает распилом.

Поддерживаю. Но ведь это обычная практика евро парламента.

Odalist ★★★★★ ()

США: Отмена net neutrality РФ: 20 миллиардов рублей на ограничение свободы пользователей ЕС: Распил почти миллиона евро на «аудит» В говно катимся, товарищи.

balsoft ★★ ()
Ответ на: комментарий от Deleted

BugBounty здорового человека: зарабатываем деньги на проекте => уязвимость может уменьшить наш cash flow => нам выгодна секурность и поощрение white hat.
BugBounty курильщика: накостылили ненужно => пропихнули в комитет => получили деньги за ошибки в ненужно. Нам выгодно плодить ошибки дальше.

snizovtsev ★★★★ ()
Ответ на: комментарий от snizovtsev

ви таки хотите сказать, что Пиратская партия аффилирована со всеми этими проектами? что, с glibc и томкатом тоже?

Deleted ()
Ответ на: комментарий от loz

Ну какие

В нормальном плеере не знаю, а vlc тянет библиотеки libfreerdp соотвественно любая уязвимость в vlc-критическая. Зачем эти идиоты так сделали не спрашивайте.

anonymous ()

Deliver faster, lower-risk integration projects with WSO2 open source API Management, Enterprise Integration, ESB and Identity Management technologies.

Ехал баззворд через баззворд Видит баззворд: в баззворде баззворд! Сунул баззворд баззворд в баззворд Баззворд баззворд баззворд баззворд.

anonymous ()
Ответ на: комментарий от tailgunner

Тебя удивляет, что в Европе развито рыбачество и у рыбаков есть программные продукты для своих нужд?

Moondancer ()
Ответ на: комментарий от tailgunner

Ну OneSoil тоже какие-то странные люди делали. Но вообще похоже, что эти ребята там вне конкурса, как и midPoint – мы этим у себя пользуемся, так давайте аудит сделаем, чоужтам

Deleted ()
Ответ на: комментарий от loz

что в списке делают текстовый редактор и видео плеер? Какие там могут быть опасные уязвимости?

С разморозкой

upcFrost ★★★★★ ()

GNU C Library (glibc): 45.000,00

Аудит безопасности всей glibc за 45 килобаксов? Бгг.

upcFrost ★★★★★ ()
Ответ на: комментарий от Deleted

ты так говоришь, как будто уже нашел десяток critical уязвимостей в glibc, просто тебе жалко с ними расставаться за эти копейки

Deleted ()

ВЛЦ и ГЛИБЦ. Остальное какой-то полувиндовый мусор.

maiden ()
Ответ на: комментарий от Deleted

я так говорю, будто весовые категории всего-чего угодно у glibc и notepad++ отличаются от указанных цен, причем в обратную сторону.

Deleted ()

Интересно, а почему только Drupal и PHP Symfony? Почему на Drupal выделили в два раза больше? WordPress же везде крутится, если уж говорить про веб.

majei ()
Ответ на: комментарий от Deleted

ты так говоришь, как будто не представляешь, что такое bug bounty. найти хотя бы одну дыру в glibc - то еще занятие, за неё и все 45к можно отдать. а 71к выделенных на Notepad++ быстро разойдутся на кучу легкообнаруживаемых дыр.

Deleted ()
Ответ на: комментарий от Deleted

найти хотя бы одну дыру в glibc - то еще занятие, за неё и все 45к можно отдать. а 71к выделенных на Notepad++ быстро разойдутся на кучу легкообнаруживаемых дыр.

посмотрим.

Deleted ()

Отлично, что выделяют деньги на свободные проекты. Особенно рад за Filezilla, 7-zip и glibc, как пользователь оных.

Pravorskyi ★★★ ()
Ответ на: комментарий от snizovtsev

Отличный бизнес-план, нужно всего лишь написать свободное ПО, которое одобрят власти ЕС, и на которое выделят деньги среди 156 претендентов.

Pravorskyi ★★★ ()

GNU C Library (glibc): 45.000,00 €

Х8ли тут так мало?!

Pyzia ★★★★★ ()
Ответ на: комментарий от snizovtsev

Это никакими программами bug bounty не закрыть

Bug bounty не закрывает уязвимости вообще. Оно для поощрения.

anonymous ()
Ответ на: комментарий от snizovtsev

лучше вкладываться в нормальные песочницы, а не заклёпывания решета by design

Песочница не панацея, так как от утечки других писем в рамках того же приложения — она тебя не спасет.

Нужно вкладываться и в application security, и в sandboxing, ибо эшелонированная оборона.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.