EU breidt auditprogramma voor opensourcesoftware uit met bug bounty

Met dank overgenomen van M.R. (Marietje) Schaake i, gepubliceerd op maandag 5 december 2016, 2:38.

Het Europarlement heeft donderdag het budget voor de EU goedgekeurd. Daarvan besteedt de EU 1,9 miljoen euro voor het doorzetten van het Fossa-project, waarmee audits van opensourcesoftware uitgevoerd worden. Het programma is bovendien uitgebreid met een bug bounty.

Vlaggen lidstaten EuropaD66-Europarlementariër Marietje Schaake schrijft dat een dergelijk programma het vinden van bugs en kwetsbaarheden in software stimuleert door financiële beloningen uit te delen aan onderzoekers. Door een bug bounty-programma moeten beveiligingsprofessionals nauwer betrokken worden bij het beveiligen van de netwerkinfrastructuur van de Europese Unie. Schaake maakt niet bekend welke bedragen voor het vinden van bugs uitgedeeld zullen worden.

Het Fossa-programma bestaat sinds twee jaar en is opgezet door de Europarlementariërs Julia Reda en Max Andersson. Los van het uitvoeren van audits, waarbij software op lekken wordt onderzocht, ontwikkelt de EU binnen het programma criteria aan de hand waarvan de kwaliteit opensourcesoftware vastgesteld kan worden, aldus Reda.

Tot nu toe heeft het Fossa-programma ervoor gezorgd dat twee programma's een audit hebben ontvangen. Dat zijn Apache en Keepass. Van de Keepass-wachtwoordmanager is de audit inmiddels afgesloten, waarbij er geen kritieke kwetsbaarheden naar voren kwamen. De software die een dergelijk onderzoek van de broncode ontvangt, wordt door middel van een enquête vastgesteld. De Europese Commissie maakte de resultaten van de vorige enquête in juli bekend.