FOSSA: il Bug Bounty Program dell'Unione Europea

L'Unione Europea gestisce e patrocina diversi eventi dedicati al mondo della programmazione software, negli ultimi anni ha lanciato ad esempio un progetto chiamato FOSSA (Free and Open Source Software Audit). Si tratta di un Bug Bounty Program, un evento abbastanza simile a quelli che solitamente organizzano le aziende private e che punta a premiare gli sviluppatori che riescono a scovare bug nel codice di alcuni progetti open source selezionati.

L'Unione Europea è molto sensibile al tema dell'alfabetizzazione digitale e allo sviluppo software in generale e organizza diversi eventi per diffondere la cultura della programmazione e le conoscenza dei vari linguaggi. Uno degli eventi più famosi in questo senso è la EU Code Week, un progetto che ha l'obbiettivo di introdurre i più giovani al mondo della programmazione software.

FOSSA ha origine nel 2014 perché proprio in quell'anno vennero riscontrate vulnerabilità di sicurezza in diversi importanti progetti open source. Uno dei bug più pericolosi venne individuato nella libreria OpenSSL ovvero l'implementazione open source dei protocolli SSL e TLS.

La scoperta di queste vulnerabilità ha fatto capire alle autorità europee quanto il software libero fosse importante per garantire l'integrità e l'affidabilità di Internet e di altre infrastrutture. Molte delle attività istituzionali si basano infatti sul software libero, il progetto FOSSA nasce quindi in tale contesto ed ha l'obbiettivo di spingere gli sviluppatori a migliorare e rendere sempre più sicuri i progetti open source sfruttati dall'Unione Europea.

La Commissione Europea, organo esecutivo dell'Unione, sta lanciando numerosi bug bounties per progetti open source su cui fanno affidamento le istituzioni UE. Il premio ottenuto dallo sviluppatore che scopre una vulnerabilità sarà influenzato dalla gravità del bug scoperto e dall'importanza relativa del software. I progetti software scelti sono stati precedentemente identificati tramite un sondaggio pubblico e sono ben 15, ovvero:

• FileZilla;
• Apache Kafka;
• Notepad++;
• PuTTY;
• VLC Media Player;
• FLUX TL;
• KeePass;
• 7-zip;
• Digital Signature Services (DSS);
• Drupal;
• GNU C Library (glibc);
• PHP Symfony;
• Apache Tomcat;
• WSO2;
• midPoint.

Le piattaforme scelte dalla commissione per lo svolgimento delle Bug Bounty saranno HackerOne e Intigriti/Deloitte ed è ad esse che gli sviluppatori interessati dovranno fare riferimento.

Via Juliareda