La Commission européenne (CE) a lancé un programme de primes aux bogues pour les projets open source qui sous-tendent ses services publics.
Les chasseurs de primes de bogues se verront offrir jusqu’à 5 000 € (5 600 $) pour trouver des vulnérabilités de sécurité dans les logiciels open source utilisés dans l’Union européenne (UE), y compris LibreOffice, LEOS, Mastodon, Odoo et CryptPad.
Le programme, dirigé par la plateforme européenne de primes aux bogues Intigriti, offrira également un bonus de 20 % si un correctif de code pour les bogues lui est fourni par les chercheurs.
Dans une déclaration publié le 19 janvier, la CE a déclaré qu’elle recherchait des rapports sur des vulnérabilités de sécurité telles que des fuites de données personnelles, une élévation horizontale/verticale des privilèges et une injection SQL. La récompense la plus élevée sera versée pour les « vulnérabilités exceptionnelles ».
Ce dernier programme fait suite au programme européen FOSSA, qui a versé plus de 220 000 dollars en 18 mois de fonctionnement, et a été salué comme un « succès remarquable ».
Parler à La gorgée quotidienneInti De Ceukelaire, responsable des hackers chez Intigriti, a déclaré que le partenariat est né l’année dernière, lorsqu’Intigriti a dirigé un programme financé par le programme ISA2 de la CE.
« Nous nous engageons à entretenir davantage la relation avec les communautés open source que nous avons établies au cours des dernières années », a-t-il déclaré.
« Je pense personnellement que chaque organisme gouvernemental devrait avoir et encourager l’utilisation de politiques de divulgation des vulnérabilités, et introduire ou adopter des lois sans ambiguïté pour soutenir la recherche sur la vulnérabilité. Les primes de bogues, parmi d’autres initiatives participatives, sont un excellent moyen d’encourager cela. »
TU POURRAIS AIMER Le jeu du blâme : l’UE critiquée pour son approche « fragmentée et lente » de l’attribution des cyberattaques
De Ceukelaire a ajouté : « Presque toutes les organisations utilisent des projets open source d’une manière ou d’une autre. L’identification et la résolution des vulnérabilités de sécurité dans ces projets ont un impact à grande échelle.
« L’incident Log4j nous a montré que le soutien à la sécurité des projets open source largement utilisés est un must absolu, nous ne pouvons donc qu’applaudir cette initiative de la Commission européenne. »
Odoo est actuellement un programme sur invitation uniquement, mais les autres programmes peuvent être trouvés sur Le site d’Intigriti.
CONSEILLÉ La Maison Blanche s’attaque aux «défis de sécurité uniques» auxquels est confronté l’écosystème open source lors d’un sommet virtuel dédié