欧盟将为14个开源项目漏洞赏金计划支付赏金

欧盟将为14个开源项目的漏洞赏金计划支付赏金。

据ZdNet 12月29日报道，欧盟议员Julia Reda上周宣布，欧盟将为14个开源项目的漏洞赏金计划支付赏金。

这14个项目可按字母顺序排列为7-zip、Apache Kafka、Apache Tomcat、Digital Signature Services （DSS）、Drupal、Filezilla、FLUX TL、GNU CLibrary （glibc）、KeePass、midPoint、Notepad++、PuTTY、the Symfony PHP framework、VLC Media Player与WSO2。

该漏洞赏金计划是作为第三版免费和开源软件审计（FOSSA）项目的一部分发起的。

欧盟当局于2015年首次批准了FOSSA，一年前，安全研究人员在OpenSSL库中发现了高危安全漏洞，OpenSSL库是许多网站用以支持HTTPS连接的开源项目。

Reda声明称，“该问题让很多人意识到免费和开源软件对网络及其他基础设施的完整性与可靠性的重要性。和大多数组织一样，欧洲议会、理事会与委员会这类组织通常会利用免费软件运行其网站及其他基础设施。”

2015至2016年间推出了首版FOSSA的试点项目，初始预算为1百万欧元。欧盟将欧盟办公室及官员使用的最流行的开源项目编制目录，并为决定应对哪些项目发起安全审计发起了公开调研。ApacheHTTP网站服务器与KeePass密码管理器两个项目当选。

2017年间推出了FOSSA 2，作为HackerOne上针对VLC媒体播放器应用程序发布的漏洞赏金计划。该计划获得了2百万欧元的资金，但漏洞赏金计划赏金预算上限为6万欧元。

目前，FOSSA为14个Bug赏金计划推出第三版的赏金预算，最高赏金纪录为PuTTY及Drupal CMS所保持。

自一月起，安全研究人员及安全公司可在这些开源项目上捕获安全漏洞，并将其报告给以上漏洞赏金计划链接，若缺陷报告获批准并得以修复，便可获得赏金回报。