Friday, 4 January 2019

PROGRAMA DE RECOMPENSAS DE VULNERABILIDADES EN SOFTWARE DE CÓDIGO ABIERTO

vulnerabilidades

El programa se enfocará en los 14 productos de código abierto que utiliza la Unión Europea

Acorde a especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, la Unión Europea lanzará un programa de recompensas de vulnerabilidades para los 14 productos de código abierto que utiliza la organización. Julia Reda, integrante del Parlamento Europeo, anunció recientemente que la Comisión Europea ofrecerá recompensas por un valor de hasta 581 mil euros gracias al programa Free and Open Source Software Audit (FOSSA).

El programa entrará en vigor a partir del mes de enero de 2019 y forman parte de la tercera edición del Proyecto FOSSA de la Unión Europea, aprobado por los países miembros en el 2015, después de que se descubrieran severas vulnerabilidades en la biblioteca OpenSSL en 2014.

Acorde a especialistas en ciberseguridad, las herramientas incluidas en este programa de recompensas incluyen 7-zip, Apache, Tomcat, Apache Kafka, Filezilla, Drupal, algunos servicios de firma digital (DSS), Symfony PHP, VLC Media Player, entre otros.

Durante el anuncio, la parlamentaria europea destacó la importancia del software de código abierto: “El incidente de 2014 nos hizo darnos cuenta de la importancia del uso de software abierto para la confiabilidad de muchas infraestructuras informáticas. Al igual que muchas otras organizaciones, la Unión Europea se basa en el uso de software libre para administrar múltiples plataformas”.

La primera edición del programa FOSSA se realizó en 2016, contaba con un presupuesto cercano al millón de euros y patrocinó la auditoría de seguridad del servidor web KeePass y Apache HTTP. Durante la segunda edición, el programa contó con un presupuesto de 2 millones de euros, con lo que se cubrieron diversas vulnerabilidades de la aplicación VCL Media Player.

Desde enero de 2019, expertos independientes y firmas de ciberseguridad podrán comenzar a buscar errores en estos proyectos de código abierto para acceder a diversas recompensas. Las vulnerabilidades de seguridad para Apache Kafka, Notepad ++, PuTTY, Filezilla y VLC Media Player se enviarán a partir del 7 de enero de 2019, a través de la plataforma de coordinación de vulnerabilidades y recompensas de errores de HackerOne.

A partir del 1 de marzo de 2019, se notificarán las vulnerabilidades de Midpoint, la plataforma gubernamental para la gestión de identidad. Las auditorías de seguridad para los nueve productos restantes se coordinarán a través de una plataforma de seguridad de distribución colectiva con sede en Bruselas.

A través de su blog personal, Julia Reda comenta que la Unión Europea también planea realizar una serie de eventos de hacking ético. Además, Reda afirma que en el futuro el programa FOSSA se centrará principalmente en Drupal y los desarrolladores encontrarán motivación necesaria para construir productos seguros.


0 comments:

Post a Comment